WordPress’da yangi kiberhujum to‘lqini: Service Finder Bookings plagini orqali administrator hisoblari buzilmoqda

Oxirgi oylar ichida kiberhujumchilar Service Finder Bookings nomli WordPress plaginidagi jiddiy zaiflikdan faol foydalana boshladi. Bu kamchilik 2025-yil 31-iyulda aniqlangan va koʻp saytlar uchun xavf tugʻdirdi: hujumchi autentifikatsiyani aylanib oʻtib, saytning istalgan foydalanuvchisi — koʻpincha administrator — nomidan tizimga kirishi mumkin.

Zaiflik qanday ishlaydi?

Zaiflik plugindagi servicefinderswitchback funksiyasida joylashgan. Hujumchi oddiygina maxsus HTTP soʻrovi yuboradi: ?switchback=1 va Cookie sarlavhasida originaluserid=<maqsad_id> qiymatini uzatadi. Plagin esa cookie mavjudligini tekshirib, hech qanday autentifikatsiya yoki nonce (bir martalik token) sinovisiz shu foydalanuvchi sifatida tizimga yozadi. Kodning asosiy qismi quyidagicha:

if ( isset( $_COOKIE['originaluserid'] ) ) {
    $originaluserid = intval( $_COOKIE['originaluserid'] );
    wp_set_current_user( $originaluserid );
    wp_set_auth_cookie( $originaluserid, true );
}

Natijada hujumchi maqsad foydalanuvchi — misol uchun administrator — nomidan tizimga kiradi va toʻliq huquqlarga ega boʻladi.

Tajovuz oqibatlari

Ekspluatatsiyaning imkoniyatlari keng: saytga backdoor o‘rnatish, zararli yoki foydalanuvchi ma’lumotlarini oʻgʻirlash, saytda deface (oʻzgarish) qilish yoki boshqa zararli skriptlarni joriy etish mumkin. Ushbu xato oddiy cookie tekshiruvidagi kamchilikdan kelib chiqadi, lekin oqibatlari juda jiddiy.

Hodisa tarixi — qisqacha

Zaiflik oshkor qilingach, hujumchilar tezda uni tahlil qilib, 2025-yil 1-avgustdan boshlab keng miqyosda ekspluatatsiya kampaniyasini boshlashgan. Bir qator xavfsizlik firmalari va devorlar ko‘plab urinishlarni bloklaganini qayd etdi — bu muammo real va keng tarqalgan ekanligidan dalolat beradi.

Qanday choralar koʻrish kerak? (amaliy tavsiyalar)

  1. Darhol yangilash. Agar sayt Service Finder Bookings plagini ≤ 6.0 versiyasida ishlasa, iloji boricha tez 6.1 yoki soʻnggi yamoqqa yangilang.
  2. Agar yangilash imkoni yoʻq bo‘lsa — plagin va unga bogʻliq funksiyalarni oʻchirib qoʻying.
  3. Veb-devor (WAF) qoʻllash. Wordfence yoki boshqa WAF qoidalarini yoqing; ular eksploit soʻrovlarini aniqlash va bloklashda yordam beradi.
  4. Server loglarini tekshirish. access.log va error.log fayllarida switchback soʻrovlarini, nomaʼlum administrator yaratilishini yoki nomaʼlum .php fayllarning kelib chiqishini qidiring.
  5. Agar zararlanish aniqlansa — parollarni yangilang va 2FA yoqing. Barcha yuqori huquqli hisoblar uchun parollarni yangilash va ikki faktorli autentifikatsiyani yoqish majburiy.
  6. Backdoor va cron ishlarini tekshiring. Nomaʼlum fayllar yoki rejalashtirilgan vazifalarni aniqlash va tozalash zarur.
  7. Zahira nusxalari (backup) ni saqlang. Zararlanish bo‘lsa, so‘nggi toza zaxiralardan tiklashni rejalashtiring.
  8. Ishonchli manbalarni kuzating. Plagin muallifi va ishonchli xavfsizlik resurslaridan (masalan, Wordfence, WPScan) yangilanish va ogohlantirishlarni kuzatib boring.

Bu holat — oddiy koddagi eʼtiborsizlikning qanday katta xavf tugʻdirishi mumkinligining yana bir eslatmasi. Veb-sayt administratorlari va ishlab chiquvchilar plaginlarni muntazam yangilashi, kirish-sessiya mexanizmlarini qatʼiy tekshirishi va server faoliyatini doimiy nazoratda ushlab turishi lozim. Tezkor chora koʻrilmasa, sayt egalariga jiddiy moddiy va reputatsion zarar yetishi ehtimoli yuqori.