סקריפטים זדוניים ודלתות אחוריות מכוונים לפגמים קריטיים בפלאגין וורדפרס

גל חדש של התקפות סייבר מנצל נקודות תורפה בשלושה תוספים של וורדפרס בשימוש נרחב, הזרקת סקריפטים זדוניים ודלתות אחוריות לאתרים, מזהיר Fastly. פגמים קריטיים אלה מאפשרים לתוקפים לבצע התקפות מאוחסנות בין אתרים (XSS) לא מאומתות, מה שמקל על יצירת חשבונות מנהלי וורדפרס לא מורשים, הזרקת דלתות אחוריות של PHP לקובצי פלאגין וערכת נושא, והגדרת סקריפטים למעקב לניטור אתרים שנפגעו.

Fastly צפתה במספר לא מבוטל של ניסיונות ניצול שמקורם בכתובות IP המקושרות ל-Autonomous System (AS) IP Volume Inc. התוספים המושפעים כוללים WP Statistics, WP Meta SEO ו-LiteSpeed Cache, המשפיעים על מיליוני התקנות פעילות.

פגיעות של WP Statistics: CVE-2024-2194

הפגיעות הראשונה משפיעה על תוסף WP Statistics, המתגאה ביותר מ-600,000 התקנות פעילות. פגם זה, במעקב כ-CVE-2024-2194, מאפשר לתוקפים להחדיר סקריפטים דרך פרמטר החיפוש של כתובת האתר. נחשף במרץ, הוא משפיע על גרסאות 14.5 ואילך. הסקריפטים שהוזרקו מופעלים בכל פעם שמשתמש ניגש לדף נגוע, כאשר תוקפים מוסיפים את הפרמטר 'utm_id' לבקשות כדי להבטיח שהעומס יופיע בדפים המבוקרים ביותר.

פגיעות WP Meta SEO: CVE-2023-6961

הפגיעות השנייה, CVE-2023-6961, משפיעה על תוסף WP Meta SEO, עם למעלה מ-20,000 התקנות פעילות. באג זה מאפשר לתוקפים להחדיר מטען לדפים שיוצרים תגובה 404. כאשר מנהל מערכת טוען עמוד כזה, הסקריפט מביא קוד JavaScript מעורפל משרת מרוחק. אם מנהל המערכת מאומת, המטען יכול לגנוב את האישורים שלו.

פגיעות של LiteSpeed Cache: CVE-2023-40000

הפגיעות השלישית, CVE-2023-40000, מתמקדת בתוסף LiteSpeed Cache, שיש לו למעלה מ-5 מיליון התקנות פעילות. תוקפים מסווים את מטען ה-XSS כהודעת מנהל, ומפעילים את הסקריפט עם גישה של מנהל לדף אחורי. זה מאפשר לסקריפט להפעיל באמצעות אישורי המנהל עבור פעולות זדוניות עוקבות.

החקירה של Fastly זיהתה חמישה דומיינים שהוזכרו במטענים הזדוניים, יחד עם שני דומיינים נוספים המשמשים למעקב, שלפחות אחד מהם היה קשור בעבר לניצול תוספים פגיעים של וורדפרס. למנהלי אתרים המשתמשים בתוספים המושפעים מומלץ לעדכן לגירסאות האחרונות באופן מיידי ולנטר את האתרים שלהם לאיתור כל פעילות חשודה.