Ļaunprātīgi skripti un aizmugures durvis ir vērsti uz kritiskiem WordPress spraudņa trūkumiem
Jauns kiberuzbrukumu vilnis izmanto ievainojamības trīs plaši izmantotos WordPress spraudņos, ievietojot vietnēs ļaunprātīgus skriptus un aizmugures durvis , brīdina Fastly. Šīs kritiskās nepilnības ļauj uzbrucējiem veikt neautentificētus saglabāto starpvietņu skriptu (XSS) uzbrukumus, atvieglojot nesankcionētu WordPress administratora kontu izveidi, PHP aizmugures durvju ievadīšanu spraudņu un motīvu failos un izsekošanas skriptu iestatīšanu, lai uzraudzītu apdraudētas vietnes.
Fastly ir novērojis ievērojamu skaitu ekspluatācijas mēģinājumu, kas radušies no IP, kas saistīti ar autonomās sistēmas (AS) IP Volume Inc. Ietekmētie spraudņi ietver WP Statistics, WP Meta SEO un LiteSpeed Cache, kas ietekmē miljoniem aktīvo instalāciju.
Satura rādītājs
WP statistikas ievainojamība: CVE-2024-2194
Pirmā ievainojamība skar WP statistikas spraudni, kurā ir vairāk nekā 600 000 aktīvo instalāciju. Šis defekts, kas izsekots kā CVE-2024-2194, ļauj uzbrucējiem ievadīt skriptus, izmantojot URL meklēšanas parametru. Tas tika atklāts martā, un tas ietekmē 14.5 un vecākas versijas. Ievadītie skripti tiek izpildīti ikreiz, kad lietotājs piekļūst inficētai lapai, un uzbrucēji pieprasījumiem pievieno parametru “utm_id”, lai nodrošinātu, ka lietderīgā slodze tiek parādīta visvairāk apmeklētajās lapās.
WP Meta SEO ievainojamība: CVE-2023-6961
Otrā ievainojamība CVE-2023-6961 ietekmē WP Meta SEO spraudni, kurā ir vairāk nekā 20 000 aktīvu instalāciju. Šī kļūda ļauj uzbrucējiem ievadīt lietderīgo slodzi lapās, ģenerējot 404 atbildi. Kad administrators ielādē šādu lapu, skripts no attālā servera ienes obfuskētu JavaScript kodu. Ja administrators ir autentificēts, lietderīgā slodze var nozagt viņu akreditācijas datus.
LiteSpeed kešatmiņas ievainojamība: CVE-2023-40000
Trešā ievainojamība CVE-2023-40000 ir vērsta uz LiteSpeed Cache spraudni, kurā ir vairāk nekā 5 miljoni aktīvo instalāciju. Uzbrucēji maskē XSS lietderīgo slodzi kā administratora paziņojumu, aktivizējot skriptu, kad administrators piekļūst aizmugures lapai. Tas ļauj skriptu izpildīt, izmantojot administratora akreditācijas datus turpmākām ļaunprātīgām darbībām.
Fastly izmeklēšanā ir konstatēti pieci domēni, uz kuriem atsaucas ļaunprātīgajās slodzēs, kā arī divi papildu domēni, kas izmantoti izsekošanai, no kuriem vismaz viens iepriekš bijis saistīts ar ievainojamu WordPress spraudņu izmantošanu. Vietņu administratoriem, kuri izmanto ietekmētos spraudņus, ieteicams nekavējoties atjaunināt uz jaunākajām versijām un pārraudzīt, vai viņu vietnēs nav konstatētas aizdomīgas darbības.