Haitalliset skriptit ja takaovet kohdistuvat kriittisiin WordPress-laajennuksen puutteisiin
Uusi kyberhyökkäysten aalto käyttää hyväkseen kolmen laajalti käytetyn WordPress-laajennuksen haavoittuvuuksia ja lisää haitallisia komentosarjoja ja takaovia verkkosivustoille, Fastly varoittaa. Nämä kriittiset puutteet antavat hyökkääjille mahdollisuuden suorittaa todentamattomia tallennettuja sivustojen välisiä komentosarjoja (XSS) hyökkäyksiä, mikä helpottaa luvattomien WordPress-järjestelmänvalvojatilien luomista, PHP-takaovien lisäämistä laajennus- ja teematiedostoihin ja seurantaskriptien määrittämistä vaarantuneiden sivustojen valvontaa varten.
Fastly on havainnut huomattavan määrän hyväksikäyttöyrityksiä, jotka ovat peräisin Autonomous System (AS) IP Volume Inc:hen linkitetyistä IP-osoitteista. Laajennuksia, joita tämä koskee, ovat WP Statistics, WP Meta SEO ja LiteSpeed Cache, jotka vaikuttavat miljooniin aktiivisiin asennuksiin.
Sisällysluettelo
WP Statistics -haavoittuvuus: CVE-2024-2194
Ensimmäinen haavoittuvuus vaikuttaa WP Statistics -laajennukseen, jossa on yli 600 000 aktiivista asennusta. Tämä virhe, joka jäljitetään nimellä CVE-2024-2194, antaa hyökkääjille mahdollisuuden lisätä komentosarjoja URL-hakuparametrin kautta. Se julkistettiin maaliskuussa, ja se vaikuttaa versioihin 14.5 ja sitä vanhempiin. Lisätyt komentosarjat suoritetaan aina, kun käyttäjä siirtyy tartunnan saaneelle sivulle, ja hyökkääjät lisäävät utm_id-parametrin pyyntöihin varmistaakseen, että hyötykuorma näkyy eniten vierailluilla sivuilla.
WP Meta SEO -haavoittuvuus: CVE-2023-6961
Toinen haavoittuvuus, CVE-2023-6961, vaikuttaa WP Meta SEO -laajennukseen, jossa on yli 20 000 aktiivista asennusta. Tämän virheen avulla hyökkääjät voivat lisätä hyötykuorman sivuille, jotka luovat 404-vastauksen. Kun järjestelmänvalvoja lataa tällaisen sivun, komentosarja hakee obfusoidun JavaScript-koodin etäpalvelimelta. Jos järjestelmänvalvoja on todennettu, hyötykuorma voi varastaa hänen kirjautumistietonsa.
LiteSpeed-välimuistin haavoittuvuus: CVE-2023-40000
Kolmas haavoittuvuus, CVE-2023-40000, kohdistuu LiteSpeed Cache -laajennukseen, jossa on yli 5 miljoonaa aktiivista asennusta. Hyökkääjät naamioivat XSS-hyötykuorman järjestelmänvalvojan ilmoitukseksi, joka käynnistää komentosarjan, kun järjestelmänvalvoja pääsee taustasivulle. Tämä mahdollistaa komentosarjan suorittamisen käyttämällä järjestelmänvalvojan tunnistetietoja myöhempiä haitallisia toimia varten.
Fastlyn tutkimuksessa on tunnistettu viisi verkkotunnusta, joihin haitallisissa hyötykuormissa viitataan, sekä kaksi muuta seurantaan käytettyä verkkotunnusta, joista ainakin yksi on aiemmin liitetty haavoittuvien WordPress-laajennusten hyväksikäyttöön. Sivuston ylläpitäjiä, jotka käyttävät kyseisiä laajennuksia, kehotetaan päivittämään uusimpiin versioihin välittömästi ja tarkkailemaan sivustojaan epäilyttävän toiminnan varalta.