Злонамерне скрипте и позадинска врата циљају на критичне недостатке ВордПресс додатка
Нови талас сајбер напада искоришћава рањивости у три широко распрострањена ВордПресс додатка, убризгавајући злонамерне скрипте и бацкдоор на веб локације, упозорава Фастли. Ове критичне мане омогућавају нападачима да изврше неауторизоване нападе ускладиштених скриптова на више локација (КССС), олакшавајући креирање неовлашћених ВордПресс администраторских налога, убацивање ПХП бацкдоор-а у датотеке додатака и тема и подешавање скрипти за праћење за праћење угрожених сајтова.
Фастли је приметио значајан број покушаја експлоатације који потичу са ИП адреса повезаних са Аутономоус Систем (АС) ИП Волуме Инц. Додаци на које се утиче укључују ВП Статистицс, ВП Мета СЕО и ЛитеСпеед Цацхе, утичући на милионе активних инсталација.
Преглед садржаја
ВП Статистицс Рањивост: ЦВЕ-2024-2194
Прва рањивост утиче на додатак ВП Статистицс, који има преко 600.000 активних инсталација. Праћен као ЦВЕ-2024-2194, ова мана омогућава нападачима да унесу скрипте преко параметра за претрагу УРЛ-а. Објављено у марту, утиче на верзије 14.5 и раније. Убачене скрипте се извршавају сваки пут када корисник приступи зараженој страници, а нападачи додају параметар 'утм_ид' захтевима како би се осигурало да се корисни садржај појављује на најпосећенијим страницама.
ВП Мета СЕО рањивост: ЦВЕ-2023-6961
Друга рањивост, ЦВЕ-2023-6961, утиче на ВП Мета СЕО додатак, са преко 20.000 активних инсталација. Ова грешка омогућава нападачима да убризгају корисни терет у странице генеришући 404 одговор. Када администратор учита такву страницу, скрипта преузима замагљени ЈаваСцрипт код са удаљеног сервера. Ако је администратор аутентификован, корисни терет може украсти њихове акредитиве.
Рањивост ЛитеСпеед кеша: ЦВЕ-2023-40000
Трећа рањивост, ЦВЕ-2023-40000, циља на додатак ЛитеСпеед Цацхе, који има преко 5 милиона активних инсталација. Нападачи маскирају КССС корисни терет као обавештење администратора, покрећући скрипту када администратор приступи позадинској страници. Ово омогућава да се скрипта изврши користећи администраторске акредитиве за наредне злонамерне радње.
Фастлијева истрага је идентификовала пет домена наведених у злонамерним корисним садржајима, заједно са два додатна домена која се користе за праћење, од којих је најмање један раније био повезан са експлоатацијом рањивих ВордПресс додатака. Саветује се администраторима веб локација који користе додатке на које се то односи да одмах ажурирају на најновије верзије и надгледају своје сајтове за било какву сумњиву активност.