Skrip Hasad dan Pintu Belakang Sasarkan Kepincangan Pemalam WordPress Kritikal
Gelombang serangan siber baharu sedang mengeksploitasi kelemahan dalam tiga pemalam WordPress yang digunakan secara meluas, menyuntik skrip berniat jahat dan pintu belakang ke dalam tapak web, amaran Fastly. Kelemahan kritikal ini membolehkan penyerang untuk melaksanakan serangan skrip rentas tapak tersimpan (XSS) yang tidak disahkan, memudahkan penciptaan akaun pentadbir WordPress yang tidak dibenarkan, suntikan pintu belakang PHP ke dalam fail pemalam dan tema, dan persediaan skrip penjejakan untuk memantau tapak yang terjejas.
Fastly telah memerhatikan sejumlah besar percubaan eksploitasi yang berpunca daripada IP yang dikaitkan dengan Sistem Autonomi (AS) IP Volume Inc. Pemalam yang terjejas termasuk WP Statistics, WP Meta SEO dan LiteSpeed Cache, yang menjejaskan berjuta-juta pemasangan aktif.
Isi kandungan
Kerentanan Statistik WP: CVE-2024-2194
Kerentanan pertama menjejaskan pemalam WP Statistics, yang mempunyai lebih 600,000 pemasangan aktif. Dijejaki sebagai CVE-2024-2194, kecacatan ini membolehkan penyerang menyuntik skrip melalui parameter carian URL. Didedahkan pada bulan Mac, ia memberi kesan kepada versi 14.5 dan lebih awal. Skrip yang disuntik dilaksanakan setiap kali pengguna mengakses halaman yang dijangkiti, dengan penyerang menambah parameter 'utm_id' pada permintaan untuk memastikan muatan muncul pada halaman yang paling banyak dikunjungi.
Kerentanan SEO Meta WP: CVE-2023-6961
Kerentanan kedua, CVE-2023-6961, mempengaruhi pemalam WP Meta SEO, dengan lebih 20,000 pemasangan aktif. Pepijat ini membolehkan penyerang menyuntik muatan ke dalam halaman yang menjana respons 404. Apabila pentadbir memuatkan halaman sedemikian, skrip mengambil kod JavaScript yang dikaburkan daripada pelayan jauh. Jika pentadbir disahkan, muatan boleh mencuri kelayakan mereka.
Kerentanan Cache LiteSpeed: CVE-2023-40000
Kerentanan ketiga, CVE-2023-40000, menyasarkan pemalam LiteSpeed Cache, yang mempunyai lebih 5 juta pemasangan aktif. Penyerang menyamarkan muatan XSS sebagai pemberitahuan pentadbir, mencetuskan skrip apabila akses pentadbir ke halaman hujung belakang. Ini membenarkan skrip untuk melaksanakan menggunakan bukti kelayakan pentadbir untuk tindakan berniat jahat yang berikutnya.
Siasatan Fastly telah mengenal pasti lima domain yang dirujuk dalam muatan berniat jahat, bersama-sama dengan dua domain tambahan yang digunakan untuk penjejakan, sekurang-kurangnya satu daripadanya sebelum ini dikaitkan dengan eksploitasi pemalam WordPress yang terdedah. Pentadbir tapak web yang menggunakan pemalam yang terjejas dinasihatkan untuk mengemas kini kepada versi terkini dengan segera dan memantau tapak mereka untuk sebarang aktiviti yang mencurigakan.