Els scripts maliciosos i les portes del darrere s'orienten a defectes crítics del connector de WordPress
Una nova onada de ciberatacs està explotant vulnerabilitats en tres connectors de WordPress àmpliament utilitzats, injectant scripts maliciosos i portes del darrere als llocs web, adverteix Fastly. Aquests defectes crítics permeten als atacants executar atacs emmagatzemats no autenticats de seqüències de comandament entre llocs (XSS), facilitant la creació de comptes d'administrador de WordPress no autoritzats, la injecció de portes posteriors de PHP als fitxers de complements i temes i la configuració d'scripts de seguiment per supervisar els llocs compromesos.
Fastly ha observat un nombre important d'intents d'explotació procedents d'IP vinculades a l'Autonomous System (AS) IP Volume Inc. Els connectors afectats inclouen WP Statistics, WP Meta SEO i LiteSpeed Cache, que afecten milions d'instal·lacions actives.
Taula de continguts
Vulnerabilitat de les estadístiques de WP: CVE-2024-2194
La primera vulnerabilitat afecta el connector WP Statistics, que compta amb més de 600.000 instal·lacions actives. Seguida com a CVE-2024-2194, aquesta fallada permet als atacants injectar scripts mitjançant el paràmetre de cerca d'URL. Divulgat al març, afecta les versions 14.5 i anteriors. Els scripts injectats s'executen sempre que un usuari accedeix a una pàgina infectada, i els atacants afegeixen el paràmetre "utm_id" a les sol·licituds per assegurar-se que la càrrega útil apareix a les pàgines més visitades.
Vulnerabilitat WP Meta SEO: CVE-2023-6961
La segona vulnerabilitat, CVE-2023-6961, afecta el connector WP Meta SEO, amb més de 20.000 instal·lacions actives. Aquest error permet als atacants injectar una càrrega útil a les pàgines generant una resposta 404. Quan un administrador carrega aquesta pàgina, l'script recupera el codi JavaScript ofuscat d'un servidor remot. Si l'administrador està autenticat, la càrrega útil pot robar les seves credencials.
Vulnerabilitat de la memòria cau LiteSpeed: CVE-2023-40000
La tercera vulnerabilitat, CVE-2023-40000, s'adreça al connector LiteSpeed Cache, que té més de 5 milions d'instal·lacions actives. Els atacants disfressen la càrrega útil XSS com una notificació de l'administrador, activant l'script quan un administrador accedeix a una pàgina de fons. Això permet que l'script s'executi utilitzant les credencials de l'administrador per a accions malicioses posteriors.
La investigació de Fastly ha identificat cinc dominis referenciats a les càrregues útils malicioses, juntament amb dos dominis addicionals utilitzats per al seguiment, almenys un dels quals s'ha associat prèviament amb l'explotació de connectors vulnerables de WordPress. Es recomana als administradors de llocs web que utilitzen els connectors afectats que actualitzin immediatament les últimes versions i que controlin els seus llocs per detectar qualsevol activitat sospitosa.