Pahatahtlikud skriptid ja tagauksed sihivad WordPressi pistikprogrammi kriitilisi vigu
Uus küberrünnakute laine kasutab ära kolme laialdaselt kasutatava WordPressi pistikprogrammi turvaauke, süstides veebisaitidele pahatahtlikke skripte ja tagauksi , hoiatab Fastly. Need kriitilised vead võimaldavad ründajatel sooritada autentimata salvestatud saidiülese skriptimise (XSS) ründeid, hõlbustades volitamata WordPressi administraatorikontode loomist, PHP tagauste sisestamist pistikprogrammide ja teemafailidesse ning jälgimisskriptide seadistamist ohustatud saitide jälgimiseks.
Fastly on täheldanud märkimisväärsel hulgal ärakasutamiskatseid, mis pärinevad autonoomse süsteemi (AS) IP Volume Inc-ga seotud IP-dest. Mõjutatud pistikprogrammide hulka kuuluvad WP Statistics, WP Meta SEO ja LiteSpeed Cache, mis mõjutavad miljoneid aktiivseid installimisi.
Sisukord
WP statistika haavatavus: CVE-2024-2194
Esimene haavatavus mõjutab pistikprogrammi WP Statistics, millel on üle 600 000 aktiivse installi. See viga, mida jälgitakse kui CVE-2024-2194, võimaldab ründajatel sisestada skripte URL-i otsinguparameetri kaudu. Märtsis avaldatud see mõjutab versioone 14.5 ja varasemaid. Sisestatud skriptid käivituvad alati, kui kasutaja siseneb nakatunud lehele, kusjuures ründajad lisavad päringutele parameetri „utm_id”, et tagada kasuliku koormuse ilmumine enimkülastatud lehtedele.
WP Meta SEO haavatavus: CVE-2023-6961
Teine haavatavus, CVE-2023-6961, mõjutab WP Meta SEO pistikprogrammi, millel on üle 20 000 aktiivse installi. See viga võimaldab ründajatel sisestada kasulikku koormust lehtedele, mis genereerivad 404 vastuse. Kui administraator laadib sellise lehe, hangib skript kaugserverist hägustatud JavaScripti koodi. Kui administraator on autentitud, võib kasulik koormus varastada nende mandaadid.
LiteSpeedi vahemälu haavatavus: CVE-2023-40000
Kolmas haavatavus, CVE-2023-40000, on suunatud LiteSpeed Cache pistikprogrammile, millel on üle 5 miljoni aktiivse installi. Ründajad maskeerivad XSS-i kasuliku koormuse administraatoriteatisena, käivitades skripti administraatori juurdepääsul taustalehele. See võimaldab skriptil käitada järgmiste pahatahtlike toimingute jaoks administraatori mandaate kasutades.
Fastly uurimine tuvastas viis domeeni, millele pahatahtlikes kasulikes koormustes viidati, ja kaks täiendavat jälgimiseks kasutatud domeeni, millest vähemalt ühte on varem seostatud haavatavate WordPressi pistikprogrammide ärakasutamisega. Mõjutatud pistikprogramme kasutavatel veebisaitide administraatoritel soovitatakse viivitamatult värskendada uusimatele versioonidele ja jälgida oma saite mis tahes kahtlase tegevuse suhtes.