Вредоносные скрипты и бэкдоры нацелены на критические недостатки плагинов WordPress
Новая волна кибератак использует уязвимости в трех широко используемых плагинах WordPress, внедряя вредоносные скрипты и бэкдоры на веб-сайты, предупреждает Fastly. Эти критические недостатки позволяют злоумышленникам выполнять атаки с использованием хранимых межсайтовых сценариев (XSS) без аутентификации, облегчая создание неавторизованных учетных записей администратора WordPress, внедрение бэкдоров PHP в файлы плагинов и тем, а также настройку сценариев отслеживания для мониторинга скомпрометированных сайтов.
Fastly наблюдал значительное количество попыток эксплуатации, исходящих от IP-адресов, связанных с автономной системой (AS) IP Volume Inc. Затронутые плагины включают WP Статистика, WP Meta SEO и LiteSpeed Cache, затрагивая миллионы активных установок.
Оглавление
Уязвимость статистики WP: CVE-2024-2194
Первая уязвимость затрагивает плагин WPStatistics, который имеет более 600 000 активных установок. Эта уязвимость, получившая обозначение CVE-2024-2194, позволяет злоумышленникам внедрять скрипты через параметр поиска URL-адреса. Объявленный в марте, он затрагивает версии 14.5 и более ранние. Внедренные скрипты выполняются всякий раз, когда пользователь обращается к зараженной странице, при этом злоумышленники добавляют к запросам параметр «utm_id», чтобы гарантировать появление полезных данных на наиболее посещаемых страницах.
Мета-SEO-уязвимость WP: CVE-2023-6961
Вторая уязвимость, CVE-2023-6961, затрагивает плагин WP Meta SEO, имеющий более 20 000 активных установок. Эта ошибка позволяет злоумышленникам внедрить полезную нагрузку на страницы, генерирующие ответ 404. Когда администратор загружает такую страницу, скрипт получает запутанный код JavaScript с удаленного сервера. Если администратор прошел проверку подлинности, полезная нагрузка может украсть его учетные данные.
Уязвимость кэша LiteSpeed: CVE-2023-40000
Третья уязвимость, CVE-2023-40000, нацелена на плагин LiteSpeed Cache, который имеет более 5 миллионов активных установок. Злоумышленники маскируют полезную нагрузку XSS под уведомление администратора, запуская сценарий при доступе администратора к серверной странице. Это позволяет сценарию выполняться с использованием учетных данных администратора для последующих вредоносных действий.
Расследование Fastly выявило пять доменов, на которые ссылаются вредоносные полезные данные, а также два дополнительных домена, используемых для отслеживания, по крайней мере один из которых ранее был связан с эксплуатацией уязвимых плагинов WordPress. Администраторам веб-сайтов, использующим затронутые плагины, рекомендуется немедленно обновить их до последних версий и отслеживать на своих сайтах любую подозрительную активность.