СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.10.2025
#Dev#ИБ

Массовая эксплуатация уязвимостей GutenKit и Hunk в WordPress

Появилась серия активных атак, направленных на критические уязвимости в популярных плагинах для WordPress — GutenKit и Hunk Companion. По данным инцидента, сообщения об эксплуатации датируются 8 октября 2025 года. Уязвимости позволяют неаутентифицированным злоумышленникам устанавливать и активировать произвольные плагины через общедоступные REST API, что в ряде случаев приводит к удалённому выполнению кода (RCE).

Коротко о проблеме

  • Затронутые плагины: GutenKit (более 40 000 активных установок) и Hunk Companion (около 8 000 установок).
  • Активная эксплуатация: инциденты датируются 8 октября 2025 года.
  • Критические версии:
    • GutenKit — версии до 2.1.0 включительно;
    • Hunk Companion — версии до 1.8.5 включительно.
  • Масштаб блокировок: Wordfence зафиксировал и блокировал более 8,7 млн попыток эксплуатации.

Технические детали

В обоих плагинах ключевая проблема заключается в отсутствии надёжной проверки авторизации для публичных REST endpoint’ов. В результате злоумышленники без аутентификации получают возможность загружать произвольные файлы или устанавливать плагины из внешних источников.

Конкретно:

  • GutenKit — функция install_and_activate_plugin_from_external() в версиях до 2.1.0 не выполняет должных проверок возможностей (capabilities), что позволяет злоумышленнику загружать и активировать плагины через REST API.
  • Hunk Companion — конечная точка /wp-json/hc/v1/themehunk-import в версиях до 1.8.5 не проверяет авторизацию, позволяя несанкционированную установку и активацию произвольных плагинов. Эта уязвимость также позволяет обойти ранее зарегистрированную уязвимость CVE-2024-9707.

«Отсутствие надлежащей аутентификации для конечных точек REST API в обоих плагинах представляет значительный риск», — отмечают эксперты по безопасности.

Типичная эксплуатация включает загрузку вредоносных пакетов, замаскированных под легитимные плагины, размещённые в общедоступных хранилищах (например, GitHub). После установки таких плагинов злоумышленники получают бэкдор для выполнения произвольного кода и дальнейшего расширения контроля над сайтом.

Примеры тактики злоумышленников

  • Публикация поддельных плагинов на GitHub и других публичных репозиториях и установка их на целевые сайты через уязвимые REST endpoint’ы.
  • Использование цепочки уязвимостей: через установку плагина с известными уязвимостями затем добиваются RCE.
  • Автоматизированные массовые сканирования и попытки эксплуатации — что подтверждается миллионами заблокированных попыток.

Последствия для владельцев сайтов

Если атака успешна, возможны следующие сценарии:

  • установка вебшелов и бекдоров;
  • кража данных, включая пользовательские учётные записи и конфиденциальную информацию;
  • включение сайта в ботнеты, рассылку спама или размещение вредоносного контента;
  • полный компромисс сайта и потеря контроля администратора.

Рекомендации по защите

Владельцам и администраторам WordPress-сайтов рекомендуется оперативно принять следующие меры:

  • Обновить плагины: немедленно обновить GutenKit и Hunk Companion до безопасных версий (включая версии выше указанных исправленных релизов).
  • Ограничить установку плагинов: убедиться, что возможность установки и активации плагинов доступна только администраторам с надлежащими правами.
  • Защитить REST API: ввести дополнительные проверки авторизации/аутентификации для критичных endpoint’ов или временно отключить публичные REST endpoint’ы, если это возможно.
  • Включить WAF и сигнатуры: настроить брандмауэр (Web Application Firewall) — например, правила Wordfence — для блокировки попыток эксплуатации; контролировать и анализировать логи.
  • Проверить сайт на компромиссы: провести аудит файловой системы и базы данных на предмет вебшелов, неизвестных файлов и вредоносных подключений; при необходимости восстановить из надёжной резервной копии.
  • Ограничить публичный доступ к репозиториям: избегать установки плагинов из ненадёжных общедоступных источников вроде неизвестных GitHub-репозиториев.
  • Мониторинг и уведомления: ввести мониторинг целостности, уведомления о смене файлов и регулярное сканирование на наличие бэкдоров.

Что делать при подозрении на взлом

  • Незамедлительно отключить скомпрометированные плагины и поменять пароли администратора.
  • Проанализировать логи доступа и попытки вызова REST API; сохранить логи для расследования.
  • Восстановить сайт из резервной копии до момента компрометации, при условии, что копия чистая.
  • При необходимости привлечь специалистов по инцидент-реагированию и уведомить пользователей, если произошла утечка данных.

Вывод

Серийные попытки эксплуатации уязвимостей в GutenKit и Hunk Companion демонстрируют, насколько опасны недостаточные проверки авторизации в REST API для WordPress-плагинов. Миллионы заблокированных попыток подтверждают, что злоумышленники активно сканируют интернет в поисках уязвимых инсталляций. Владельцам сайтов следует действовать оперативно: обновлять плагины, ужесточать контроль доступа и мониторить активность, чтобы минимизировать риск компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: