Skriptet keqdashëse dhe dyert e pasme synojnë të metat kritike të shtojcave të WordPress
Një valë e re sulmesh kibernetike po shfrytëzon dobësitë në tre shtojcat e WordPress të përdorura gjerësisht, duke injektuar skripte keqdashëse dhe dyer të pasme në faqet e internetit, paralajmëron Fastly. Këto të meta kritike u mundësojnë sulmuesve të ekzekutojnë sulme të paautentikuara të skriptimit ndër-site (XSS), duke lehtësuar krijimin e llogarive të paautorizuara të administratorit të WordPress, injektimin e dyerve të pasme PHP në skedarët e shtojcave dhe temave dhe konfigurimin e skripteve gjurmuese për të monitoruar faqet e komprometuara.
Fastly ka vëzhguar një numër të konsiderueshëm përpjekjesh shfrytëzimi që burojnë nga IP të lidhura me Volume IP të Sistemit Autonom (AS) Inc. Shtojcat e ndikuar përfshijnë WP Statistics, WP Meta SEO dhe LiteSpeed Cache, duke prekur miliona instalime aktive.
Tabela e Përmbajtjes
Dobësia e statistikave të WP: CVE-2024-2194
Dobësia e parë prek shtojcën WP Statistics, e cila krenohet me mbi 600,000 instalime aktive. E gjurmuar si CVE-2024-2194, kjo e metë i lejon sulmuesit të injektojnë skriptet nëpërmjet parametrit të kërkimit të URL-së. Zbuluar në mars, ai prek versionet 14.5 dhe më herët. Skriptet e injektuara ekzekutohen sa herë që një përdorues hyn në një faqe të infektuar, me sulmuesit që shtojnë parametrin 'utm_id' në kërkesa për të siguruar që ngarkesa të shfaqet në faqet më të vizituara.
Dobësia e WP Meta SEO: CVE-2023-6961
Dobësia e dytë, CVE-2023-6961, prek shtojcën WP Meta SEO, me mbi 20,000 instalime aktive. Ky gabim i lejon sulmuesit të injektojnë një ngarkesë në faqet që gjenerojnë një përgjigje 404. Kur një administrator ngarkon një faqe të tillë, skripti merr kodin e turbullt JavaScript nga një server në distancë. Nëse administratori është i vërtetuar, ngarkesa mund të vjedhë kredencialet e tyre.
Dobësia e cache-it të LiteSpeed: CVE-2023-40000
Dobësia e tretë, CVE-2023-40000, synon shtojcën LiteSpeed Cache, e cila ka mbi 5 milionë instalime aktive. Sulmuesit maskojnë ngarkesën e XSS si një njoftim administratori, duke shkaktuar skriptin pas hyrjes së një administratori në një faqe prapavijë. Kjo lejon që skripti të ekzekutohet duke përdorur kredencialet e administratorit për veprimet e mëvonshme me qëllim të keq.
Hetimi i Fastly ka identifikuar pesë domene të referuara në ngarkesat me qëllim të keq, së bashku me dy domene shtesë të përdorura për gjurmim, të paktën njëri prej të cilëve ka qenë i lidhur më parë me shfrytëzimin e shtojcave të cenueshme të WordPress. Administratorët e faqeve të internetit që përdorin shtojcat e prekura këshillohen që të përditësojnë menjëherë versionet më të fundit dhe të monitorojnë faqet e tyre për çdo aktivitet të dyshimtë.