Κακόβουλα σενάρια και θυρίδες στόχευσης κρίσιμων ελαττωμάτων προσθηκών WordPress
Ένα νέο κύμα κυβερνοεπιθέσεων εκμεταλλεύεται τα τρωτά σημεία σε τρία ευρέως χρησιμοποιούμενα πρόσθετα WordPress, εισάγοντας κακόβουλα σενάρια και κερκόπορτες σε ιστότοπους, προειδοποιεί η Fastly. Αυτά τα κρίσιμα ελαττώματα επιτρέπουν στους εισβολείς να εκτελούν μη πιστοποιημένες επιθέσεις αποθηκευμένων μεταξύ ιστοτόπων δέσμης ενεργειών (XSS), διευκολύνοντας τη δημιουργία μη εξουσιοδοτημένων λογαριασμών διαχειριστή WordPress, την εισαγωγή backdoors PHP σε αρχεία προσθηκών και θεμάτων και τη ρύθμιση σεναρίων παρακολούθησης για την παρακολούθηση παραβιασμένων τοποθεσιών.
Η Fastly έχει παρατηρήσει σημαντικό αριθμό προσπαθειών εκμετάλλευσης που προέρχονται από IP που συνδέονται με το Autonomous System (AS) IP Volume Inc. Οι προσθήκες που επηρεάζονται περιλαμβάνουν το WP Statistics, το WP Meta SEO και το LiteSpeed Cache, επηρεάζοντας εκατομμύρια ενεργές εγκαταστάσεις.
Πίνακας περιεχομένων
Ευπάθεια στατιστικών WP: CVE-2024-2194
Η πρώτη ευπάθεια επηρεάζει το πρόσθετο WP Statistics, το οποίο διαθέτει πάνω από 600.000 ενεργές εγκαταστάσεις. Παρακολούθηση ως CVE-2024-2194, αυτό το ελάττωμα επιτρέπει στους εισβολείς να εισάγουν σενάρια μέσω της παραμέτρου αναζήτησης URL. Αποκαλύφθηκε τον Μάρτιο, επηρεάζει τις εκδόσεις 14.5 και παλαιότερες. Τα σενάρια που εισάγονται εκτελούνται κάθε φορά που ένας χρήστης έχει πρόσβαση σε μια μολυσμένη σελίδα, με τους εισβολείς να προσθέτουν την παράμετρο 'utm_id' στα αιτήματα για να διασφαλίσουν ότι το ωφέλιμο φορτίο εμφανίζεται στις σελίδες με τις περισσότερες επισκέψεις.
Ευπάθεια WP Meta SEO: CVE-2023-6961
Η δεύτερη ευπάθεια, το CVE-2023-6961, επηρεάζει το πρόσθετο WP Meta SEO, με περισσότερες από 20.000 ενεργές εγκαταστάσεις. Αυτό το σφάλμα επιτρέπει στους εισβολείς να εισάγουν ένα ωφέλιμο φορτίο σε σελίδες που δημιουργούν μια απάντηση 404. Όταν ένας διαχειριστής φορτώνει μια τέτοια σελίδα, το σενάριο ανακτά τον ασαφή κώδικα JavaScript από έναν απομακρυσμένο διακομιστή. Εάν ο διαχειριστής έχει πιστοποιηθεί, το ωφέλιμο φορτίο μπορεί να κλέψει τα διαπιστευτήριά του.
Ευπάθεια LiteSpeed Cache: CVE-2023-40000
Η τρίτη ευπάθεια, CVE-2023-40000, στοχεύει την προσθήκη LiteSpeed Cache, η οποία έχει πάνω από 5 εκατομμύρια ενεργές εγκαταστάσεις. Οι εισβολείς συγκαλύπτουν το ωφέλιμο φορτίο XSS ως ειδοποίηση διαχειριστή, ενεργοποιώντας το σενάριο κατά την πρόσβαση ενός διαχειριστή σε μια σελίδα υποστήριξης. Αυτό επιτρέπει στο σενάριο να εκτελεστεί χρησιμοποιώντας τα διαπιστευτήρια του διαχειριστή για επακόλουθες κακόβουλες ενέργειες.
Η έρευνα του Fastly εντόπισε πέντε τομείς που αναφέρονται στα κακόβουλα ωφέλιμα φορτία, μαζί με δύο πρόσθετους τομείς που χρησιμοποιούνται για παρακολούθηση, τουλάχιστον ένας από τους οποίους είχε προηγουμένως συσχετιστεί με την εκμετάλλευση ευάλωτων προσθηκών WordPress. Συνιστάται στους διαχειριστές ιστότοπων που χρησιμοποιούν τις προσθήκες που επηρεάζονται να ενημερώνουν αμέσως τις πιο πρόσφατες εκδόσεις και να παρακολουθούν τους ιστότοπούς τους για οποιαδήποτε ύποπτη δραστηριότητα.