Sneeit RCE и Frost Botnet: Двойной Удар по Вебу

Сцена киберподполья снова грохнула: сразу две уязвимости — одна в WordPress-плагине Sneeit Framework, другая в ICTBroadcast — пошли в разнос и стали кормом для свежих атак. Wordfence и VulnCheck перекрикивают друг друга, рассказывая, как по интернету бегают боты, дропают шеллы и размножаются как кролики на адреналине.

Начнём с главного шоу — RCE в плагине Sneeit Framework, CVE-2025-6389, который можно использовать чтобы рутовать чужой WordPress даже не постучавшись. Классический call_user_func() без мозгов — и вуаля, любой анонимус может вызвать любую PHP-функцию, хоть wp_insert_user(), хоть свой кастомный генератор админок. Плагин стоит на примерно 1700 сайтах, но для атакующих это чистое золото: мало где находятся апдейты, и ещё меньше — своевременно.

Sneeit успели исправить дыру 5 августа 2025 года в версии 8.4, но как обычно, эксплойты полезли в продакшн ровно в тот же день, как о баге узнали. Wordfence уже заблокировали 131 000 попыток атак, и более 15 тысяч за последние сутки — отличный показатель того, насколько любят все RCE в WP.

В ход идёт привычная схема: шлём запросы на /wp-admin/admin-ajax.php, создаём нового админа с ником вроде arudikadis, заливаем backdoor под названием tijtewmg.php — и затем хозяин сайта узнаёт о проблеме только когда у него на главной внезапно появляется казино или фейковая антивирусная панель.

С некоторых атак тусят IP-адреса из очевидной географии — от 185.125.50.59 до 116.234.108.143. На взломанных серверах находят универсальные PHP-шеллы типа xL.php, .a.php или simple.php, которые умеют всё: шарить каталоги, править права, удалять файлы, распаковывать ZIP и запускать фейерверки на стороне атакующего. Некоторые даже подтягивают .htaccess с внешнего сервера racoonlab.top, чтобы не мешали никакие ограничительные правила.

Но это был только первый акт спектакля — второй идёт ещё грязнее.

Сторона ICTBroadcast получила свою порцию боли: CVE-2025-2611, критическая уязвимость, начала использоваться для доставки нового ботнета Frost. Да, всё правильно — ботнет с названием Frost, который и DDoS умеет, и сам размножается через пачку эксплойтов.

Frost — не тупой сканер-школьник. Он сначала проверяет, действительно ли сервер уязвим, а только потом бьёт. Например, эксплойт для CVE-2025-1610 он запускает только если сервер отвечает сначала cookie user=(null), а затем – user=admin. Нет сигнатуры — нет атаки.

Бинарник скачивается в нескольких архитектурных версиях, каждая запускается по очереди, потом следы затираются. Работает тихо, чисто, без лишнего шума — явно не массовка, а точечный акцент. VulnCheck оценивают, что в интернете всего около 10 000 потенциальных жертв — значит, оператор маленький, но зубастый.

И cherry on top — ICTBroadcast-эксплойта в самом ботнет-бинарнике нет. То есть Frost — это лишь видимая часть айсберга, а эксплойты шлёт какая-то другая часть инфраструктуры, тоже под контролем операторов.

В итоге перед нами — двойной хит сезона: WordPress-плагин, который открывает дверь без стука, и ботнет Frost, который вежливо проверяет табличку «не входить» и заходит только если она написана нужным шрифтом. Интернет снова превращается в арену, где каждый забытый апдейт — приглашение на шоу.

Большинство атак уже в дикой природе, так что если у вас WordPress + Sneeit или устаревший ICTBroadcast — ставьте патчи, проверьте логи и готовьтесь выметать следы незваных гостей.