Zlonamjerne skripte i pozadinska vrata ciljaju na kritične nedostatke dodataka za WordPress
Novi val kibernetičkih napada iskorištava ranjivosti u tri široko korištena WordPress dodatka, ubacujući zlonamjerne skripte i stražnja vrata u web stranice, upozorava Fastly. Ovi kritični nedostaci omogućuju napadačima da izvrše neautorizirane napade pohranjenog međumjesnog skriptiranja (XSS), olakšavajući stvaranje neovlaštenih WordPress administratorskih računa, ubacivanje PHP stražnjih vrata u datoteke dodataka i tema te postavljanje skripti za praćenje za nadzor ugroženih stranica.
Fastly je primijetio značajan broj pokušaja iskorištavanja koji potječu iz IP-ova povezanih s Autonomous System (AS) IP Volume Inc. Pogođeni dodaci uključuju WP Statistics, WP Meta SEO i LiteSpeed Cache, koji utječu na milijune aktivnih instalacija.
Sadržaj
Ranjivost WP statistike: CVE-2024-2194
Prva ranjivost utječe na dodatak WP Statistics, koji se može pohvaliti s više od 600.000 aktivnih instalacija. Praćen kao CVE-2024-2194, ovaj propust omogućuje napadačima da ubace skripte putem parametra pretraživanja URL-a. Otkriven u ožujku, utječe na verzije 14.5 i starije. Umetnute skripte izvršavaju se kad god korisnik pristupi zaraženoj stranici, a napadači dodaju parametar 'utm_id' zahtjevima kako bi osigurali da se korisni sadržaj pojavi na najposjećenijim stranicama.
WP Meta SEO Ranjivost: CVE-2023-6961
Druga ranjivost, CVE-2023-6961, utječe na WP Meta SEO dodatak, s više od 20.000 aktivnih instalacija. Ova pogreška omogućuje napadačima da ubace sadržaj u stranice generirajući odgovor 404. Kada administrator učita takvu stranicu, skripta dohvaća maskirani JavaScript kod s udaljenog poslužitelja. Ako je administrator autentificiran, korisni teret može ukrasti njegove vjerodajnice.
Ranjivost predmemorije LiteSpeed: CVE-2023-40000
Treća ranjivost, CVE-2023-40000, cilja na dodatak LiteSpeed Cache, koji ima više od 5 milijuna aktivnih instalacija. Napadači maskiraju XSS korisni teret kao obavijest administratora, pokrećući skriptu nakon administratorovog pristupa pozadinskoj stranici. To omogućuje izvršavanje skripte korištenjem administratorskih vjerodajnica za naknadne zlonamjerne akcije.
Istraga tvrtke Fastly identificirala je pet domena navedenih u zlonamjernim sadržajima, zajedno s dvije dodatne domene koje se koriste za praćenje, od kojih je barem jedna prethodno bila povezana s iskorištavanjem ranjivih WordPress dodataka. Administratorima web-mjesta koji koriste zahvaćene dodatke savjetuje se da odmah ažuriraju na najnovije verzije i nadziru svoja web-mjesta radi bilo kakve sumnjive aktivnosti.