Kenkėjiški scenarijai ir užpakalinės durys – tai kritiniai „WordPress“ papildinio trūkumai
„Fastly“ perspėja, kad nauja kibernetinių atakų banga išnaudoja trijų plačiai naudojamų „WordPress“ įskiepių pažeidžiamumą, įveda į svetaines kenkėjiškus scenarijus ir užpakalines duris . Dėl šių kritinių trūkumų užpuolikai gali vykdyti neautentifikuotas saugomų kelių svetainių scenarijų (XSS) atakas, palengvinant neteisėtų „WordPress“ administratoriaus paskyrų kūrimą, PHP galinių durų įterpimą į papildinių ir temų failus ir stebėjimo scenarijų sąranką, kad būtų galima stebėti pažeistas svetaines.
Fastly pastebėjo daug išnaudojimo bandymų, kylančių iš IP, susietų su autonominės sistemos (AS) IP Volume Inc. Paveikti papildiniai apima WP Statistics, WP Meta SEO ir LiteSpeed Cache, turinčius įtakos milijonams aktyvių įrenginių.
Turinys
WP Statistics pažeidžiamumas: CVE-2024-2194
Pirmasis pažeidžiamumas paveikia WP Statistics papildinį, kuriame yra daugiau nei 600 000 aktyvių diegimų. Šis trūkumas, stebimas kaip CVE-2024-2194, leidžia užpuolikams įterpti scenarijus naudojant URL paieškos parametrą. Paskelbta kovo mėnesį, ji turi įtakos 14.5 ir senesnėms versijoms. Įterpti scenarijai vykdomi kiekvieną kartą, kai vartotojas pasiekia užkrėstą puslapį, o užpuolikai prie užklausų prideda parametrą „utm_id“, kad užtikrintų, jog naudingoji apkrova būtų rodoma dažniausiai lankomuose puslapiuose.
WP meta SEO pažeidžiamumas: CVE-2023-6961
Antrasis pažeidžiamumas, CVE-2023-6961, paveikia WP Meta SEO papildinį, kuriame įdiegta daugiau nei 20 000 aktyvių diegimų. Ši klaida leidžia užpuolikams įterpti naudingą apkrovą į puslapius, generuojančius 404 atsakymą. Kai administratorius įkelia tokį puslapį, scenarijus iš nuotolinio serverio paima užmaskuotą JavaScript kodą. Jei administratorius autentifikuotas, naudingas krovinys gali pavogti jo kredencialus.
„LiteSpeed“ talpyklos pažeidimas: CVE-2023-40000
Trečiasis pažeidžiamumas CVE-2023-40000 nukreiptas į „LiteSpeed Cache“ papildinį, kuriame yra daugiau nei 5 milijonai aktyvių diegimų. Užpuolikai užmaskuoja XSS naudingą apkrovą kaip administratoriaus pranešimą, suaktyvindami scenarijų, kai administratorius pasiekia pagrindinio puslapio puslapį. Tai leidžia scenarijui vykdyti naudojant administratoriaus kredencialus tolesniems kenkėjiškiems veiksmams.
„Fastly“ tyrimas nustatė penkis domenus, nurodytus kenkėjiškose apkrovose, ir du papildomus domenus, naudojamus stebėjimui, iš kurių bent vienas anksčiau buvo susijęs su pažeidžiamų „WordPress“ papildinių išnaudojimu. Svetainių administratoriams, naudojantiems paveiktus papildinius, patariama nedelsiant atnaujinti į naujausias versijas ir stebėti, ar jų svetainėse nėra įtartinos veiklos.