Специалистами компании «Ревизиум» была зафиксирована волна кибератак на сайты, которые работают под управлением CMS MODx Evolution.
Хакеры пользуются уязвимостью в компоненте assets/snippets/ajaxSearch/classes/ajaxSearchConfig.class.inc.php, которая позволяет внедрять бэкдор посредством POST-запроса. Бэкдор проникает в базу данных и дает злоумышленнику возможность осуществлять загрузку вредоносных скриптов, выполнять манипуляции с файлами, менять внешний вид сайта. Поскольку бэкдор находится в базе данных, сканеры файлов не находят его. Если удастся удалить все загруженные вредоносные скрипты, злоумышленники смогут загрузить их повторно.
Как утверждают эксперты, кибернападения проводятся с арендованных VPS серверов. Бот выполняет POST-запрос, размещает на сайте скрипт-загрузчик и затем применяет его для внедрения других вредоносных скриптов.
На сайте GitHub уже размещен патч, который устраняет упомянутую уязвимость.
Кроме того, экспертами были выявлены атаки на MODx-сайты с использованием скрипта, который часто применяется в различных плагинах галерей. Этот скрипт входит в состав evogallery. В нем присутствует уязвимость, которая дает возможность загружать произвольные файлы.
Эксперты советуют администраторам сайтов, работающих с модулем галереи с uploadify и поисковой функцией ajax, как можно скорее провести установку патчей. Если модуль и функция не задействуются, то следует удалить uploadify.php и изменить название скрипта index-ajax.php.