Scripturile rău intenționate și ușile din spate vizează defecte critice ale pluginului WordPress
Un nou val de atacuri cibernetice exploatează vulnerabilitățile din trei plugin-uri WordPress utilizate pe scară largă, injectând scripturi rău intenționate și backdoors în site-uri web, avertizează Fastly. Aceste defecte critice permit atacatorilor să execute atacuri neautentificate cu scripturi încrucișate stocate (XSS), facilitând crearea de conturi de administrator WordPress neautorizate, injectarea de backdoors PHP în fișierele plugin și teme și configurarea scripturilor de urmărire pentru a monitoriza site-urile compromise.
Fastly a observat un număr semnificativ de încercări de exploatare care provin de la IP-uri conectate la Autonomous System (AS) IP Volume Inc. Pluginurile afectate includ WP Statistics, WP Meta SEO și LiteSpeed Cache, care afectează milioane de instalări active.
Cuprins
Vulnerabilitatea statisticilor WP: CVE-2024-2194
Prima vulnerabilitate afectează pluginul WP Statistics, care are peste 600.000 de instalări active. Urmărită ca CVE-2024-2194, această defecțiune le permite atacatorilor să injecteze scripturi prin intermediul parametrului de căutare URL. Dezvăluit în martie, are impact asupra versiunilor 14.5 și anterioare. Scripturile injectate se execută ori de câte ori un utilizator accesează o pagină infectată, atacatorii adăugând parametrul „utm_id” la solicitări pentru a se asigura că sarcina utilă apare pe paginile cele mai vizitate.
Vulnerabilitatea WP Meta SEO: CVE-2023-6961
A doua vulnerabilitate, CVE-2023-6961, afectează pluginul WP Meta SEO, cu peste 20.000 de instalări active. Această eroare permite atacatorilor să injecteze o sarcină utilă în pagini care generează un răspuns 404. Când un administrator încarcă o astfel de pagină, scriptul preia codul JavaScript ofuscat de la un server la distanță. Dacă administratorul este autentificat, încărcarea utilă le poate fura acreditările.
Vulnerabilitatea LiteSpeed Cache: CVE-2023-40000
A treia vulnerabilitate, CVE-2023-40000, vizează pluginul LiteSpeed Cache, care are peste 5 milioane de instalări active. Atacatorii maschează încărcătura utilă XSS ca o notificare de administrator, declanșând scriptul la accesul unui administrator la o pagină de backend. Acest lucru permite script-ului să se execute folosind acreditările administratorului pentru acțiunile rău intenționate ulterioare.
Investigația lui Fastly a identificat cinci domenii la care se face referire în încărcăturile utile rău intenționate, împreună cu două domenii suplimentare utilizate pentru urmărire, dintre care cel puțin unul a fost asociat anterior cu exploatarea pluginurilor WordPress vulnerabile. Administratorii site-urilor care utilizează pluginurile afectate sunt sfătuiți să actualizeze imediat cele mai recente versiuni și să își monitorizeze site-urile pentru orice activitate suspectă.