Ondsinnede skript og bakdører retter seg mot kritiske WordPress-pluginfeil
En ny bølge av nettangrep utnytter sårbarheter i tre mye brukte WordPress-plugins, injiserer ondsinnede skript og bakdører på nettsteder, advarer Fastly. Disse kritiske feilene gjør det mulig for angripere å utføre uautentiserte, lagrede skripting på tvers av nettsteder (XSS), noe som gjør det lettere å opprette uautoriserte WordPress-administratorkontoer, injeksjon av PHP-bakdører i plugin- og temafiler, og oppsett av sporingsskript for å overvåke kompromitterte nettsteder.
Fastly har observert et betydelig antall utnyttelsesforsøk som kommer fra IP-er knyttet til Autonomous System (AS) IP Volume Inc. De berørte pluginene inkluderer WP Statistics, WP Meta SEO og LiteSpeed Cache, som påvirker millioner av aktive installasjoner.
Innholdsfortegnelse
WP-statistikksårbarhet: CVE-2024-2194
Den første sårbarheten påvirker WP Statistics-pluginen, som har over 600 000 aktive installasjoner. Sporet som CVE-2024-2194, lar denne feilen angripere injisere skript via URL-søkeparameteren. Det ble offentliggjort i mars og påvirker versjon 14.5 og tidligere. De injiserte skriptene kjøres hver gang en bruker går inn på en infisert side, med angripere som legger til 'utm_id'-parameteren i forespørsler for å sikre at nyttelasten vises på de mest besøkte sidene.
WP Meta SEO-sårbarhet: CVE-2023-6961
Den andre sårbarheten, CVE-2023-6961, påvirker WP Meta SEO-plugin, med over 20 000 aktive installasjoner. Denne feilen lar angripere injisere en nyttelast på sider som genererer et 404-svar. Når en administrator laster inn en slik side, henter skriptet obfuskert JavaScript-kode fra en ekstern server. Hvis administratoren er autentisert, kan nyttelasten stjele legitimasjonen deres.
LiteSpeed Cache-sårbarhet: CVE-2023-40000
Den tredje sårbarheten, CVE-2023-40000, retter seg mot LiteSpeed Cache-plugin, som har over 5 millioner aktive installasjoner. Angripere skjuler XSS-nyttelasten som en admin-varsling, og utløser skriptet når en administrator får tilgang til en backend-side. Dette gjør at skriptet kan kjøres ved å bruke administratorens legitimasjon for påfølgende ondsinnede handlinger.
Fastlys undersøkelse har identifisert fem domener referert til i de ondsinnede nyttelastene, sammen med ytterligere to domener brukt for sporing, hvorav minst ett tidligere har vært assosiert med utnyttelse av sårbare WordPress-plugins. Nettstedsadministratorer som bruker de berørte pluginene, anbefales å oppdatere til de nyeste versjonene umiddelbart og overvåke nettstedene deres for mistenkelig aktivitet.