75 000 веб-сайтов на WordPress уязвимы для атак хакеров

Плагин LearnPress — это подключаемый модуль системы управления обучением (LMS), который позволяет веб-сайтам на WordPress легко создавать онлайн-курсы, уроки, викторины и тесты. Первой уязвимостью, обнаруженной PatchStack, стала CVE-2022-47615 — уязвимость включения локальных файлов без проверки подлинности (LFI). Это позволяет хакерам отображать содержимое локальных файлов, хранящихся на веб-сервере. Вторая критическая уязвимость (CVE-2022-45808) заключается в SQL-инъекции в обход аутентификации. Уязвимости в плагине, используемом более чем на 100 000 сайтов, были обнаружены  экспертами из PatchStack в  период с 30 ноября по 2 декабря 2022 года и доведены до сведения поставщика программного обеспечения. Проблемы были устранены в декабре с выпуском LearnPress версии 4.2.0. Однако, согласно статистике WordPress.org, только около 25% пользователей обновили плагин до последней версии.


Некоторые актуальные уязвимости не исправляются уже 20 лет

Специалисты Orange Cyberdefense представили масштабный анализ уязвимостей в своём отчёте «Security Navigator 2023» и раскрыли полезной информации. По их данным, ежедневно по всему миру выявляется около 22 новых угроз в самых разных отраслях. Самым старым, до сих пор не исправленным актуальным уязвимостям, уже более 20 лет. Происходит это по разным причинам. Например, из-за узкой применимости угрозы, из-за обнаружении в неактуальных/старых версиях ПО или из-за нехватки ресурсов компании, которые можно выделить на устранение бреши.


Хакеры используют платформу Google Ads для заражения устройств

Злоумышленник, отслеживаемый как DEV-0569, использует Google Ads в широкомасштабных рекламных кампаниях для распространения вредоносных программ, кражи паролей жертв и взлома сетей для атак программ-вымогателей. Объявления выдают себя за веб-сайты популярных программ, таких как LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR и VLC. Список вредоносных программ, скачанных с фишинговых сайтов, на данный момент включает RedLine Stealer, Gozi/Ursnif, Vidar, Cobalt Strike и программы-вымогатели.