악성 스크립트 및 백도어는 중요한 WordPress 플러그인 결함을 표적으로 삼습니다.

Fastly는 새로운 사이버 공격이 널리 사용되는 WordPress 플러그인 3개의 취약점을 악용하여 웹사이트에 악성 스크립트와 백도어를 삽입하고 있다고 경고했습니다. 이러한 심각한 결함으로 인해 공격자는 인증되지 않은 저장된 XSS(교차 사이트 스크립팅) 공격을 실행할 수 있으며, 승인되지 않은 WordPress 관리자 계정 생성, 플러그인 및 테마 파일에 PHP 백도어 삽입, 손상된 사이트를 모니터링하기 위한 추적 스크립트 설정을 용이하게 합니다.

Fastly는 자율 시스템(AS) IP Volume Inc.에 연결된 IP에서 발생하는 수많은 악용 시도를 관찰했습니다. 영향을 받는 플러그인에는 WP Statistics, WP Meta SEO 및 LiteSpeed Cache가 포함되어 수백만 개의 활성 설치에 영향을 미칩니다.

WP 통계 취약점: CVE-2024-2194

첫 번째 취약점은 600,000개 이상의 활성 설치를 자랑하는 WP Statistics 플러그인에 영향을 미칩니다. CVE-2024-2194로 추적되는 이 결함을 통해 공격자는 URL 검색 매개변수를 통해 스크립트를 삽입할 수 있습니다. 3월에 공개된 이 기능은 버전 14.5 및 이전 버전에 영향을 미칩니다. 삽입된 스크립트는 사용자가 감염된 페이지에 액세스할 때마다 실행되며, 공격자는 가장 많이 방문한 페이지에 페이로드가 표시되도록 요청에 'utm_id' 매개변수를 추가합니다.

WP 메타 SEO 취약점: CVE-2023-6961

두 번째 취약점인 CVE-2023-6961은 20,000개 이상의 활성 설치가 있는 WP Meta SEO 플러그인에 영향을 미칩니다. 이 버그를 통해 공격자는 404 응답을 생성하는 페이지에 페이로드를 삽입할 수 있습니다. 관리자가 이러한 페이지를 로드하면 스크립트는 원격 서버에서 난독화된 JavaScript 코드를 가져옵니다. 관리자가 인증되면 페이로드가 자격 증명을 훔칠 수 있습니다.

LiteSpeed 캐시 취약점: CVE-2023-40000

세 번째 취약점인 CVE-2023-40000은 500만 개 이상의 활성 설치가 있는 LiteSpeed Cache 플러그인을 대상으로 합니다. 공격자는 XSS 페이로드를 관리자 알림으로 위장하여 관리자가 백엔드 페이지에 액세스할 때 스크립트를 트리거합니다. 이를 통해 후속 악성 작업에 대해 관리자의 자격 증명을 사용하여 스크립트를 실행할 수 있습니다.

Fastly의 조사에 따르면 악성 페이로드에서 참조된 5개의 도메인과 추적에 사용된 2개의 추가 도메인이 확인되었으며, 그 중 적어도 하나는 이전에 취약한 WordPress 플러그인의 악용과 관련이 있었습니다. 영향을 받는 플러그인을 사용하는 웹사이트 관리자는 즉시 최신 버전으로 업데이트하고 사이트에서 의심스러운 활동이 있는지 모니터링하는 것이 좋습니다.