Специалисты компании “Ревизиум” зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution. Компрометации подвергаются ресурсы под управлением различных версий CMS, в том числе самых актуальных.
В ходе атак злоумышленники эксплуатируют уязвимость в компоненте assets/snippets/ajaxSearch/classes/ajaxSearchConfig.class.inc.php, позволяющую внедрить бэкдор при помощи POST-запроса. Бэкдор сохраняется в базе данных и позволяет осуществлять различные действия: загружать вредоносные скрипты, производить манипуляции с файлами и базой данных, осуществлять дефейс и пр. В связи с тем, что бэкдор сохраняется в базе данных, он не детектируется сканерами файлов на хостинге. Даже в случае успешного удаления всех загруженных вредоносных скриптов у злоумышленника остается возможность повторной их загрузки.
По данным экспертов, атаки осуществляются с арендованных VPS серверов. Бот выполняет POST-запрос, загружает на сайт скрипт-загрузчик и через некоторое время использует его для размещения вредоносных скриптов на ресурсе.
На GitHub уже доступен патч, устраняющий вышеуказанную уязвимость. Также эксперты зафиксировали атаки на MODx-сайты через популярный скрипт, часто использующийся в различных плагинах галерей. Скрипт является частью evogallery и содержит уязвимость, позволяющую загрузить произвольный файл, в том числе вредоносный. Специалисты рекомендуют владельцам сайтов, использующих модуль галереи с uploadify и функцию ajax поиска, оперативно установить патчи. Если модуль и функция не используются, эксперты рекомендуют удалить uploadify.php и переименовать скрипт index-ajax.php. (Ревизиум/NovostIT)
