Złośliwe skrypty i backdoory atakują krytyczne wady wtyczek WordPress
Nowa fala cyberataków wykorzystuje luki w trzech powszechnie używanych wtyczkach WordPress, wstrzykując do stron internetowych złośliwe skrypty i backdoory – ostrzega Fastly. Te krytyczne luki umożliwiają atakującym przeprowadzanie nieuwierzytelnionych ataków typu XSS (Stored Cross-Site scripting), ułatwiając tworzenie nieautoryzowanych kont administratorów WordPress, wstrzykiwanie backdoorów PHP do plików wtyczek i motywów oraz konfigurowanie skryptów śledzących w celu monitorowania zaatakowanych witryn.
Fastly zaobserwował znaczną liczbę prób wykorzystania adresów IP powiązanych z systemem autonomicznym (AS) IP Volume Inc. Wtyczki, których to dotyczy, obejmują WP Statistics, WP Meta SEO i LiteSpeed Cache, wpływając na miliony aktywnych instalacji.
Spis treści
Luka w zabezpieczeniach statystyki WP: CVE-2024-2194
Pierwsza luka dotyczy wtyczki WP Statistics, która może pochwalić się ponad 600 000 aktywnych instalacji. Ta luka, oznaczona jako CVE-2024-2194, umożliwia atakującym wstrzykiwanie skryptów poprzez parametr wyszukiwania adresu URL. Ujawniony w marcu, dotyczy wersji 14.5 i wcześniejszych. Wstrzyknięte skrypty są wykonywane za każdym razem, gdy użytkownik uzyskuje dostęp do zainfekowanej strony, a osoby atakujące dodają parametr „utm_id” do żądań, aby mieć pewność, że ładunek pojawi się na najczęściej odwiedzanych stronach.
Luka w zabezpieczeniach Meta SEO WP: CVE-2023-6961
Druga luka, CVE-2023-6961, dotyczy wtyczki WP Meta SEO, która ma ponad 20 000 aktywnych instalacji. Ten błąd umożliwia atakującym wstrzyknięcie ładunku na strony, generując odpowiedź 404. Gdy administrator ładuje taką stronę, skrypt pobiera zaciemniony kod JavaScript ze zdalnego serwera. Jeśli administrator zostanie uwierzytelniony, ładunek może ukraść jego dane uwierzytelniające.
Luka w zabezpieczeniach pamięci podręcznej LiteSpeed: CVE-2023-40000
Trzecia luka, CVE-2023-40000, atakuje wtyczkę LiteSpeed Cache, która ma ponad 5 milionów aktywnych instalacji. Osoby atakujące ukrywają ładunek XSS jako powiadomienie administratora, uruchamiając skrypt po uzyskaniu przez administratora dostępu do strony zaplecza. Umożliwia to wykonanie skryptu przy użyciu poświadczeń administratora w celu wykonania kolejnych złośliwych działań.
Dochodzenie przeprowadzone przez Fastly zidentyfikowało pięć domen, do których odwołują się szkodliwe ładunki, wraz z dwiema dodatkowymi domenami używanymi do śledzenia, z których co najmniej jedna była wcześniej powiązana z wykorzystywaniem podatnych na ataki wtyczek WordPress. Administratorom witryn korzystających z wtyczek, których dotyczy problem, zaleca się natychmiastową aktualizację do najnowszych wersji i monitorowanie swoich witryn pod kątem wszelkich podejrzanych działań.