Злонамерените скриптове и задни вратички са насочени към критични пропуски в приставката за WordPress
Нова вълна от кибератаки експлоатира уязвимости в три широко използвани плъгина на WordPress, като инжектира злонамерени скриптове и задни вратички в уебсайтове, предупреждава Fastly. Тези критични пропуски позволяват на атакуващите да изпълняват неупълномощени атаки за скриптове между сайтове (XSS), улеснявайки създаването на неоторизирани администраторски акаунти в WordPress, инжектирането на PHP задни врати в плъгини и файлове с теми и настройката на проследяващи скриптове за наблюдение на компрометирани сайтове.
Fastly е наблюдавал значителен брой опити за експлоатация, произтичащи от IP адреси, свързани с автономната система (AS) IP Volume Inc. Засегнатите добавки включват WP Statistics, WP Meta SEO и LiteSpeed Cache, засягащи милиони активни инсталации.
Съдържание
WP статистика уязвимост: CVE-2024-2194
Първата уязвимост засяга приставката WP Statistics, която може да се похвали с над 600 000 активни инсталации. Проследен като CVE-2024-2194, този пропуск позволява на атакуващите да инжектират скриптове чрез параметъра за търсене на URL адрес. Разкрит през март, той засяга версии 14.5 и по-стари. Инжектираните скриптове се изпълняват всеки път, когато потребител осъществи достъп до заразена страница, като атакуващите добавят параметъра „utm_id“ към заявките, за да гарантират, че полезният товар се появява на най-посещаваните страници.
WP Meta SEO уязвимост: CVE-2023-6961
Втората уязвимост, CVE-2023-6961, засяга плъгина WP Meta SEO с над 20 000 активни инсталации. Тази грешка позволява на атакуващите да инжектират полезен товар в страници, генерирайки отговор 404. Когато администратор зареди такава страница, скриптът извлича обфусциран JavaScript код от отдалечен сървър. Ако администраторът е удостоверен, полезният товар може да открадне техните идентификационни данни.
Уязвимост на LiteSpeed Cache: CVE-2023-40000
Третата уязвимост, CVE-2023-40000, е насочена към плъгина LiteSpeed Cache, който има над 5 милиона активни инсталации. Нападателите маскират полезния товар на XSS като известие на администратора, задействайки скрипта при достъп на администратор до бекенд страница. Това позволява на скрипта да се изпълни, като използва идентификационните данни на администратора за последващи злонамерени действия.
Разследването на Fastly идентифицира пет домейна, споменати в злонамерените полезни натоварвания, заедно с два допълнителни домейна, използвани за проследяване, поне един от които преди това е бил свързан с експлоатацията на уязвими плъгини на WordPress. Администраторите на уебсайтове, използващи засегнатите плъгини, се съветват незабавно да актуализират до най-новите версии и да наблюдават сайтовете си за подозрителна дейност.