Ondsindede scripts og bagdøre retter sig mod kritiske WordPress-plugin-fejl
En ny bølge af cyberangreb udnytter sårbarheder i tre udbredte WordPress-plugins, injicerer ondsindede scripts og bagdøre på websteder, advarer Fastly. Disse kritiske fejl gør det muligt for angribere at udføre uautoriserede lagrede script-angreb på tværs af websteder (XSS), hvilket letter oprettelsen af uautoriserede WordPress-administratorkonti, indsprøjtning af PHP-bagdøre i plugin- og temafiler og opsætning af sporingsscripts til at overvåge kompromitterede websteder.
Fastly har observeret et betydeligt antal udnyttelsesforsøg, der stammer fra IP'er knyttet til Autonomous System (AS) IP Volume Inc. De berørte plugins inkluderer WP Statistics, WP Meta SEO og LiteSpeed Cache, der påvirker millioner af aktive installationer.
Indholdsfortegnelse
WP-statistiksårbarhed: CVE-2024-2194
Den første sårbarhed påvirker WP Statistics plugin, som kan prale af over 600.000 aktive installationer. Sporet som CVE-2024-2194 giver denne fejl angribere mulighed for at injicere scripts via URL-søgeparameteren. Afsløret i marts, det påvirker version 14.5 og tidligere. De injicerede scripts udføres, hver gang en bruger får adgang til en inficeret side, hvor angribere tilføjer parameteren 'utm_id' til anmodninger for at sikre, at nyttelasten vises på de mest besøgte sider.
WP Meta SEO-sårbarhed: CVE-2023-6961
Den anden sårbarhed, CVE-2023-6961, påvirker WP Meta SEO plugin med over 20.000 aktive installationer. Denne fejl tillader angribere at injicere en nyttelast på sider, der genererer et 404-svar. Når en administrator indlæser en sådan side, henter scriptet sløret JavaScript-kode fra en ekstern server. Hvis administratoren er godkendt, kan nyttelasten stjæle deres legitimationsoplysninger.
LiteSpeed Cache-sårbarhed: CVE-2023-40000
Den tredje sårbarhed, CVE-2023-40000, er rettet mod LiteSpeed Cache plugin, som har over 5 millioner aktive installationer. Angribere skjuler XSS-nyttelasten som en admin-meddelelse, der udløser scriptet ved en administrators adgang til en backend-side. Dette gør det muligt for scriptet at udføre ved hjælp af administratorens legitimationsoplysninger til efterfølgende ondsindede handlinger.
Fastlys undersøgelse har identificeret fem domæner, der refereres til i de ondsindede nyttelaster, sammen med to yderligere domæner, der bruges til sporing, hvoraf mindst ét tidligere har været forbundet med udnyttelsen af sårbare WordPress-plugins. Webstedsadministratorer, der bruger de berørte plugins, rådes til at opdatere til de nyeste versioner med det samme og overvåge deres websteder for enhver mistænkelig aktivitet.