Škodlivé skripty a zadní vrátka cílí na kritické chyby pluginu WordPress
Nová vlna kybernetických útoků využívá zranitelnosti ve třech široce používaných pluginech WordPress a vkládá do webových stránek škodlivé skripty a zadní vrátka , varuje Fastly. Tyto kritické chyby umožňují útočníkům provádět neověřené útoky typu XSS (cross-site scripting), což usnadňuje vytváření neautorizovaných administrátorských účtů WordPress, vkládání zadních vrátek PHP do souborů pluginů a motivů a nastavení sledovacích skriptů pro sledování napadených stránek.
Fastly zaznamenal značný počet pokusů o zneužití pocházejících z IP propojených s Autonomous System (AS) IP Volume Inc. Mezi ovlivněné pluginy patří WP Statistics, WP Meta SEO a LiteSpeed Cache, které ovlivňují miliony aktivních instalací.
Obsah
Chyba zabezpečení WP Statistics: CVE-2024-2194
První zranitelnost se týká pluginu WP Statistics, který se může pochlubit více než 600 000 aktivními instalacemi. Tato chyba je sledována jako CVE-2024-2194 a umožňuje útočníkům vkládat skripty prostřednictvím parametru vyhledávání adresy URL. Byl zveřejněn v březnu a týká se verzí 14.5 a starších. Vložené skripty se spouštějí vždy, když uživatel přistoupí na infikovanou stránku, přičemž útočníci přidají k požadavkům parametr 'utm_id', aby zajistili, že se obsah zobrazí na nejnavštěvovanějších stránkách.
Chyba zabezpečení WP Meta SEO: CVE-2023-6961
Druhá chyba zabezpečení, CVE-2023-6961, ovlivňuje plugin WP Meta SEO s více než 20 000 aktivními instalacemi. Tato chyba umožňuje útočníkům vložit užitečné zatížení do stránek a generovat odpověď 404. Když administrátor načte takovou stránku, skript načte ze vzdáleného serveru obfuskovaný kód JavaScript. Pokud je správce ověřen, může datová část ukrást jeho přihlašovací údaje.
Chyba zabezpečení mezipaměti LiteSpeed: CVE-2023-40000
Třetí chyba zabezpečení, CVE-2023-40000, se zaměřuje na plugin LiteSpeed Cache, který má více než 5 milionů aktivních instalací. Útočníci maskují obsah XSS jako upozornění správce a spouštějí skript při přístupu správce na stránku backendu. To umožňuje spuštění skriptu pomocí pověření správce pro následné škodlivé akce.
Vyšetřování Fastly identifikovalo pět domén, na které se odkazuje ve škodlivém obsahu, spolu se dvěma dalšími doménami používanými pro sledování, z nichž alespoň jedna byla dříve spojena se zneužíváním zranitelných pluginů WordPress. Správcům webových stránek, kteří používají dotčené zásuvné moduly, se doporučuje, aby okamžitě aktualizovali na nejnovější verze a sledovali, zda na jejich stránkách nedochází k jakékoli podezřelé aktivitě.