Schadelijke scripts en backdoors richten zich op kritieke fouten in de WordPress-plug-in
Een nieuwe golf van cyberaanvallen maakt misbruik van kwetsbaarheden in drie veelgebruikte WordPress-plug-ins, waarbij kwaadaardige scripts en achterdeurtjes in websites worden geïnjecteerd, waarschuwt Fastly. Deze kritieke tekortkomingen stellen aanvallers in staat om niet-geverifieerde, opgeslagen cross-site scripting (XSS)-aanvallen uit te voeren, waardoor het aanmaken van ongeautoriseerde WordPress-beheerdersaccounts, de injectie van PHP-backdoors in plug-in- en themabestanden, en het opzetten van trackingscripts om gecompromitteerde sites te monitoren, wordt vergemakkelijkt.
Fastly heeft een aanzienlijk aantal exploitatiepogingen waargenomen die afkomstig zijn van IP's die zijn gekoppeld aan het Autonomous System (AS) IP Volume Inc. De getroffen plug-ins omvatten WP Statistics, WP Meta SEO en LiteSpeed Cache, die gevolgen hebben voor miljoenen actieve installaties.
Inhoudsopgave
Kwetsbaarheid in WP-statistieken: CVE-2024-2194
De eerste kwetsbaarheid treft de plug-in WP Statistics, die over meer dan 600.000 actieve installaties beschikt. Deze fout, die wordt bijgehouden als CVE-2024-2194, stelt aanvallers in staat scripts te injecteren via de URL-zoekparameter. Het werd in maart bekendgemaakt en heeft invloed op versies 14.5 en eerder. De geïnjecteerde scripts worden uitgevoerd wanneer een gebruiker een geïnfecteerde pagina bezoekt, waarbij aanvallers de parameter 'utm_id' toevoegen aan verzoeken om ervoor te zorgen dat de payload op de meest bezochte pagina's verschijnt.
WP Meta SEO-kwetsbaarheid: CVE-2023-6961
De tweede kwetsbaarheid, CVE-2023-6961, treft de WP Meta SEO-plug-in, met meer dan 20.000 actieve installaties. Met deze bug kunnen aanvallers een lading in pagina's injecteren die een 404-reactie genereren. Wanneer een beheerder zo'n pagina laadt, haalt het script versluierde JavaScript-code op van een externe server. Als de beheerder is geverifieerd, kan de payload de inloggegevens stelen.
Beveiligingslek in LiteSpeed-cache: CVE-2023-40000
De derde kwetsbaarheid, CVE-2023-40000, richt zich op de LiteSpeed Cache-plug-in, die meer dan 5 miljoen actieve installaties heeft. Aanvallers vermommen de XSS-payload als een beheerdersmelding, waardoor het script wordt geactiveerd zodra een beheerder toegang krijgt tot een backend-pagina. Hierdoor kan het script worden uitgevoerd met de inloggegevens van de beheerder voor daaropvolgende kwaadaardige acties.
Het onderzoek van Fastly heeft vijf domeinen geïdentificeerd waarnaar wordt verwezen in de kwaadaardige payloads, samen met twee extra domeinen die worden gebruikt voor tracking, waarvan er minstens één eerder in verband is gebracht met de exploitatie van kwetsbare WordPress-plug-ins. Websitebeheerders die de betreffende plug-ins gebruiken, worden geadviseerd onmiddellijk bij te werken naar de nieuwste versies en hun sites te controleren op verdachte activiteiten.