Škodlivé skripty a zadné vrátka sa zameriavajú na kritické chyby doplnku WordPress

Nová vlna kybernetických útokov využíva zraniteľné miesta v troch široko používaných doplnkoch WordPress a vkladá do webových stránok škodlivé skripty a zadné vrátka , varuje Fastly. Tieto kritické chyby umožňujú útočníkom vykonávať neoverené útoky pomocou skriptovania medzi stránkami (XSS), čím uľahčujú vytváranie neautorizovaných správcovských účtov WordPress, vkladanie zadných vrátok PHP do súborov doplnkov a tém a nastavenie sledovacích skriptov na monitorovanie napadnutých stránok.

Fastly zaznamenal značný počet pokusov o zneužitie pochádzajúcich z IP prepojených s autonómnym systémom (AS) IP Volume Inc. Medzi ovplyvnené doplnky patria WP Statistics, WP Meta SEO a LiteSpeed Cache, ktoré ovplyvňujú milióny aktívnych inštalácií.

Chyba zabezpečenia WP Statistics: CVE-2024-2194

Prvá zraniteľnosť ovplyvňuje doplnok WP Statistics, ktorý sa môže pochváliť viac ako 600 000 aktívnymi inštaláciami. Táto chyba, sledovaná ako CVE-2024-2194, umožňuje útočníkom vkladať skripty prostredníctvom parametra vyhľadávania URL. Odhalený v marci má vplyv na verzie 14.5 a staršie. Vložené skripty sa spustia vždy, keď používateľ pristúpi na infikovanú stránku, pričom útočníci pridajú parameter 'utm_id' k požiadavkám, aby sa zabezpečilo, že sa obsah zobrazí na najnavštevovanejších stránkach.

Chyba zabezpečenia WP Meta SEO: CVE-2023-6961

Druhá chyba, CVE-2023-6961, ovplyvňuje doplnok WP Meta SEO s viac ako 20 000 aktívnymi inštaláciami. Táto chyba umožňuje útočníkom vložiť užitočné zaťaženie do stránok a vygenerovať odpoveď 404. Keď administrátor načíta takúto stránku, skript načíta zo vzdialeného servera zahmlený kód JavaScript. Ak je správca overený, užitočné zaťaženie môže ukradnúť jeho poverenia.

Zraniteľnosť vyrovnávacej pamäte LiteSpeed: CVE-2023-40000

Tretia chyba zabezpečenia, CVE-2023-40000, sa zameriava na doplnok LiteSpeed Cache, ktorý má viac ako 5 miliónov aktívnych inštalácií. Útočníci maskujú obsah XSS ako upozornenie správcu a spúšťajú skript po prístupe správcu na stránku backendu. To umožňuje, aby sa skript spustil pomocou poverení správcu pre následné škodlivé akcie.

Fastlyho vyšetrovanie identifikovalo päť domén, na ktoré sa odkazuje v škodlivom zaťažení, spolu s dvoma ďalšími doménami používanými na sledovanie, z ktorých aspoň jedna bola predtým spojená so zneužívaním zraniteľných doplnkov WordPress. Správcom webových stránok, ktorí používajú dotknuté doplnky, sa odporúča, aby okamžite aktualizovali na najnovšiu verziu a sledovali, či sa na ich stránkach nevyskytuje akákoľvek podozrivá aktivita.