WordPress plaginlardagi kritik zaifliklar: GutenKit va Hunk Companion orqali ommaviy hujumlar orqali saytlar egallanyapti

2025-yil oktyabr oyida xavfli ommaviy hujumlar qayta boshlanib, WordPress uchun mashhur GutenKit va Hunk Companion plaginlaridagi oldin aniqlangan kritik zaifliklardan foydalanilmoqda. Ushbu nuqsonlar REST API orqali ruxsatsiz plagin o‘rnatish imkonini beradi — natijada hujumchi saytingizga zararli kod o‘rnatib, masofadan buyruq bajarish, webshell o‘rnatish yoki saytingizni buzish (defacement) imkoniga ega bo‘ladi.

Nima sodir bo‘lyapti va qanday zaifliklar ishlatilmoqda?

Muammo REST API orqali ishlovchi endpointlarga noto‘g‘ri ruxsat tekshiruvlari o‘rnatilgani bilan bog‘liq: hujumchilar autentifikatsiyasiz so‘rov yuborib, serverga tashqi manbadan (masalan, GitHub yoki hujumchi tomonidan boshqariladigan domenlardan) ZIP-archive shaklida zararli “plagin”ni yuklatib, uni avtomatik o‘rnatib va faollashtirib qo‘yishi mumkin. Shu tarzda ular serverga o‘z kodlarini ishga tushirish (RCE) imkoniyatiga ega bo‘ladi. NVD+1

Wordfence’ning tahdid razvedkasi xodimlari qayd etishicha, hujumchilar yuqori darajada obfuskatsiyalangan backdoor’lar, fayl-menejerlar va webshell’lar tarqatmoqda — bu paketlar saytni buzib kirish, ma’lumot o‘g‘irlash, massaviy defeys qilish hamda ichki tarmoqlar bo‘ylab harakatlanish (lateral movement) imkonini beradi. Wordfence

Qaysi plaginlar va qaysi versiyalar xavf ostida?

  • GutenKit (CVE-2024-9234): barcha versiyalar ≤ 2.1.0 zaif; tuzatish — 2.1.1. NVD
  • Hunk Companion (CVE-2024-9707 va CVE-2024-11972): zaif versiyalar ≤ 1.8.4 / ≤ 1.8.5; tuzatish — 1.9.0. NVD+1

Bu zaifliklarning umumiy xususiyati — ruxsat tekshiruvlari (permission callbacks) har doim true qaytarish orqali autentifikatsiyani bekor qilishi va o‘rnatish funksiyasini qurollantirishidir — natijada plagin o‘rnatish funksiyasi qurolga aylanadi.

Hujum hajmi va ta’siri

Wordfence’ning himoya qoidalari o‘rnatilgandan so‘ng ham, bir necha kun ichida millionlab (hisoblashlarga ko‘ra ~8.7 million) ekspluatatsiya urinishlari bloklangan — bu hujumlarning keng qamrovli va avtomatlashtirilganligini ko‘rsatadi. Hujumlarda sayt maydonlari, ma’lumotlar va administrativ kirishlar muhim xavf ostiga tushadi. Wordfence+1

Qanday chora ko‘rish kerak? (tepada — darhol bajarilishi lozim)

  1. Hozirda yangilash — GutenKit’ni 2.1.1, Hunk Companion’ni 1.9.0 versiyasiga yangilang. Yangilash birinchi va eng muhim chora. NVD+1
  2. wp-content/plugins va wp-content/upgrade papkalarini tekshirish — noma’lum zip/fayllar, yangi noma’lum kataloglar yoki shubhali PHP-skriptlar bor-yo‘qligini aniqlang.
  3. Access log’larni monitoring qiling — aynan quyidagi endpointlarga bo‘lgan POST so‘rovlarini kuzating:
    • /wp-json/gutenkit/v1/install-active-plugin
    • /wp-json/hc/v1/themehunk-import
      Shubhali POST so‘rovlarga darhol javoban IP’ni vaqtincha bloklash yoki WAF qoidalarini qo‘llash maqsadga muvofiq. Wordfence+1
  4. Firewall va WAF qoidalari — REST API endpointlarga faqat autentifikatsiyalangan foydalanuvchilar kirishini ta’minlash uchun qoidalar qo‘ying; keraksiz REST endpointlarni o‘chiring yoki cheklang.
  5. Kontent tekshiruvi — sayt fayllarida noma’lum cron ishlar, yangi admin foydalanuvchilar yoki kodga kiritilgan o‘zgartirishlarni tekshiring.
  6. Zahira nusxa (backup) — toza, zaxira nusxasini saqlang va zarar yetgan saytlarni tiklash rejasi ustida ishlang.
  7. Auditorlik va skanerlash — saytlarni avtomatlashtirilgan skanerlar bilan tekshiring va butun infratuzilmani prioritet bo‘yicha tozalang.

Foydali tekshiruv buyruqlari (ssh/console orqali)

Quyidagi buyruqlar yordamida shoshilinch tekshiruv o‘tkazishingiz mumkin. Avval zaxira nusxasini oling!

  • Plaginlar ro‘yxatini va versiyalarini ko‘rish (WP-CLI):
wp plugin list --format=csv

wp-content/plugins va wp-content/upgrade ichida oxirgi o‘zgartirilgan fayllarni topish:

find wp-content/plugins wp-content/upgrade -type f -mtime -30 -ls

(oxirgi 30 kun ichida o‘zgargan fayllarni ko‘rsatadi)

  • Noma’lum .php fayllar yoki base64 obfuska qidirish (shoshilinch izlash uchun):
grep -R --line-number -E "base64_decode|eval(|gzinflate|gzuncompress" wp-content/plugins || true

Web server access loglarida ma’lum endpointlarga POST so‘rovlarni qidirish:

grep "POST /wp-json/gutenkit/v1/install-active-plugin" /var/log/apache2/access.log* /var/log/nginx/access.log* || true
grep "POST /wp-json/hc/v1/themehunk-import" /var/log/apache2/access.log* /var/log/nginx/access.log* || true

Shubhali fayllarni vaqtincha karantinlash:

mkdir ~/suspicious_backup
cp /var/www/html/wp-content/plugins/suspicious-plugin.zip ~/suspicious_backup/

Tashqi monitoring va aniqlash takliflari

  • Wordfence, Sucuri yoki boshqa xavfsizlik pluginlarini o‘rnating va scanningni ishga tushiring.
  • Fail2ban yoki WAF orqali REST endpointlarga aniqlangan yomon niyatli so‘rovlarni bloklash.
  • Access loglarni SIEM’ga yuboring — aniqlangan mass POST urinishlari uchun ogohlantirish qo‘ying.
  • Host va FTP/SSH loginlarini tekshiring — noma’lum foydalanuvchi yoki IP tracing.

Agar sayt buzilgan bo‘lsa — incident response qisqacha jarayoni

  1. Saytni izolyatsiya qiling (maintenance mode yoki tarmoq darajasida bloklash).
  2. Zaxira nusxasini oling (ma’lumotlar va fayllar).
  3. Shubhali fayllarni aniqlang va tiklashni amalga oshiring (toza zaxiradan).
  4. Admin, FTP, DB parollarini almashtiring; API kalitlarini bekor qiling va qayta yaratish.
  5. Tizimni to‘liq scan qiling (malware, webshell, cron tasklar) va monitoringni kuchaytiring.
  6. Agar mijoz ma’lumotlari yoki maxfiy kalitlar oshkor bo‘lgan bo‘lsa — tegishli xabarnoma va huquqiy talablarni bajarish.

Oldini olish (uzoq muddatli)

  • REST API endpointlariga kirishni faqat autentifikatsiyalangan va ro‘yxatdan o‘tgan foydalanuvchilarga cheklang.
  • Plagin va WordPress’ni tez-tez yangilab boring; noma’lum yoki eski plaginlardan voz keching.
  • Minimal huquq prinsipini qo‘llang — admin huquqini faqat ishonchli foydalanuvchilarga bering.
  • Kodni va plugin manbasini ishonchli repositorydan oling; plaginlarni doimiy audit qiling.
  • Backup va tiklash jarayonlarini sinab ko‘ring — zudlik bilan tiklash imkoniga ega bo‘ling.

Ushbu zaifliklar — oddiy (avtomatik) plagin o‘rnatish funksiyasining noto‘g‘ri sozlanishi qanday qilib butun saytning buzilishiga olib kelishini ko‘rsatadi. Eng yaxshi va tezkor himoya — plaginlarni darhol yangilash, wp-content papkalarini tekshirish va REST API’ni himoyalash.