A rosszindulatú szkriptek és a hátsó ajtók a kritikus WordPress beépülő modul hibáit célozzák
A kibertámadások új hulláma három széles körben használt WordPress-bővítmény sebezhetőségét használja ki, rosszindulatú szkripteket és hátsó ajtókat juttatva a webhelyekbe – figyelmeztet Fastly. Ezek a kritikus hibák lehetővé teszik a támadók számára, hogy hitelesítetlen tárolt helyközi parancsfájl- (XSS) támadásokat hajtsanak végre, megkönnyítve jogosulatlan WordPress rendszergazdai fiókok létrehozását, PHP hátsó ajtók beillesztését a plugin- és témafájlokba, valamint nyomkövető szkriptek beállítását a feltört webhelyek figyelésére.
Fastly jelentős számú kihasználási kísérletet figyelt meg, amelyek az Autonomous System (AS) IP Volume Inc.-hez kapcsolódó IP-címekről származnak. Az érintett bővítmények közé tartozik a WP Statistics, a WP Meta SEO és a LiteSpeed Cache, amelyek több millió aktív telepítést érintenek.
Tartalomjegyzék
A WP Statistics sebezhetősége: CVE-2024-2194
Az első sérülékenység a WP Statistics bővítményt érinti, amely több mint 600 000 aktív telepítéssel büszkélkedhet. A CVE-2024-2194 jelzésű hiba lehetővé teszi a támadók számára, hogy az URL-keresési paraméteren keresztül szkripteket szúrjanak be. Márciusban nyilvánosságra hozva a 14.5-ös és korábbi verziókat érinti. A beinjektált szkriptek akkor futnak le, amikor a felhasználó hozzáfér egy fertőzött oldalhoz, és a támadók az „utm_id” paramétert adják hozzá a kérésekhez, hogy biztosítsák a hasznos adatok megjelenését a leglátogatottabb oldalakon.
WP Meta SEO biztonsági rése: CVE-2023-6961
A második sebezhetőség, a CVE-2023-6961 a WP Meta SEO beépülő modult érinti, több mint 20 000 aktív telepítéssel. Ez a hiba lehetővé teszi a támadók számára, hogy a 404-es választ generáló oldalakba rakást adjanak. Amikor egy rendszergazda betölt egy ilyen oldalt, a szkript lekéri az obfuszkált JavaScript-kódot egy távoli kiszolgálóról. Ha a rendszergazda hitelesített, a rakomány ellophatja a hitelesítő adatait.
LiteSpeed gyorsítótár biztonsági rése: CVE-2023-40000
A harmadik sebezhetőség, a CVE-2023-40000 a LiteSpeed Cache beépülő modult célozza, amely több mint 5 millió aktív telepítéssel rendelkezik. A támadók adminisztrátori értesítésnek álcázzák az XSS rakományt, és elindítják a szkriptet, amikor a rendszergazda hozzáfér egy háttéroldalhoz. Ez lehetővé teszi, hogy a parancsfájl az adminisztrátor hitelesítő adataival fusson le a későbbi rosszindulatú műveletekhez.
A Fastly vizsgálata öt tartományt azonosított, amelyekre a rosszindulatú anyagokban hivatkoztak, valamint két további, nyomon követésre használt tartományt, amelyek közül legalább egyet korábban a sebezhető WordPress-bővítmények kihasználásával társítottak. Az érintett beépülő modulokat használó webhely-adminisztrátoroknak azt tanácsoljuk, hogy azonnal frissítsenek a legújabb verzióra, és figyeljék webhelyeiket minden gyanús tevékenységre.