Zlonamerni skripti in stranska vrata ciljajo na kritične napake vtičnika WordPress
Nov val kibernetskih napadov izkorišča ranljivosti v treh široko uporabljenih vtičnikih WordPress, vnašanje zlonamernih skriptov in zakulisnih vrat na spletna mesta, opozarja Fastly. Te kritične napake napadalcem omogočajo izvajanje napadov s shranjenimi skripti med spletnimi mesti (XSS) s preverjeno pristnostjo, kar olajša ustvarjanje nepooblaščenih skrbniških računov WordPress, vbrizgavanje stranskih vrat PHP v datoteke vtičnikov in tem ter nastavitev skriptov za sledenje za nadzor ogroženih spletnih mest.
Fastly je opazil veliko število poskusov izkoriščanja, ki izvirajo iz IP-jev, povezanih z avtonomnim sistemom (AS) IP Volume Inc. Prizadeti vtičniki vključujejo WP Statistics, WP Meta SEO in LiteSpeed Cache, ki vplivajo na milijone aktivnih namestitev.
Kazalo
Ranljivost statistike WP: CVE-2024-2194
Prva ranljivost vpliva na vtičnik WP Statistics, ki se ponaša z več kot 600.000 aktivnimi namestitvami. Sledena kot CVE-2024-2194, ta napaka omogoča napadalcem, da vbrizgajo skripte prek iskalnega parametra URL. Razkrit marca, vpliva na različice 14.5 in starejše. Vbrizgani skripti se izvedejo vsakič, ko uporabnik dostopi do okužene strani, pri čemer napadalci zahtevam dodajo parameter 'utm_id', da zagotovijo, da se vsebina pojavi na najbolj obiskanih straneh.
WP Meta SEO ranljivost: CVE-2023-6961
Druga ranljivost, CVE-2023-6961, vpliva na vtičnik WP Meta SEO z več kot 20.000 aktivnimi namestitvami. Ta hrošč omogoča napadalcem, da vstavijo koristni tovor na strani, ki ustvarijo odgovor 404. Ko skrbnik naloži takšno stran, skript pridobi zakrito kodo JavaScript z oddaljenega strežnika. Če je skrbnik preverjen, lahko tovor ukrade njegove poverilnice.
Ranljivost predpomnilnika LiteSpeed: CVE-2023-40000
Tretja ranljivost, CVE-2023-40000, cilja na vtičnik LiteSpeed Cache, ki ima več kot 5 milijonov aktivnih namestitev. Napadalci prikrijejo vsebino XSS kot skrbniško obvestilo in sprožijo skript ob skrbniškem dostopu do zaledne strani. To omogoča, da se skript izvaja z uporabo skrbniških poverilnic za poznejša zlonamerna dejanja.
Fastlyjeva preiskava je odkrila pet domen, navedenih v zlonamernih uporabnih obremenitvah, skupaj z dvema dodatnima domenama, uporabljenima za sledenje, od katerih je bila vsaj ena že prej povezana z izkoriščanjem ranljivih vtičnikov WordPress. Administratorjem spletnih mest, ki uporabljajo prizadete vtičnike, svetujemo, naj nemudoma posodobijo na najnovejše različice in spremljajo svoja spletna mesta za kakršne koli sumljive dejavnosti.