Skadliga skript och bakdörrar riktar sig mot kritiska WordPress-pluginfel
En ny våg av cyberattacker utnyttjar sårbarheter i tre brett använda WordPress-plugins, injicerar skadliga skript och bakdörrar på webbplatser, varnar Fastly. Dessa kritiska brister gör det möjligt för angripare att utföra oautentiserade XSS-attacker (stored cross-site scripting), vilket underlättar skapandet av obehöriga WordPress-administratörskonton, injiceringen av PHP-bakdörrar i plugin- och temafiler och konfigureringen av spårningsskript för att övervaka utsatta webbplatser.
Fastly har observerat ett betydande antal exploateringsförsök som härrör från IP-adresser kopplade till Autonomous System (AS) IP Volume Inc. De påverkade plugins inkluderar WP Statistics, WP Meta SEO och LiteSpeed Cache, som påverkar miljontals aktiva installationer.
Innehållsförteckning
Sårbarhet i WP-statistik: CVE-2024-2194
Den första sårbarheten påverkar plugin-programmet WP Statistics, som har över 600 000 aktiva installationer. Spåras som CVE-2024-2194, detta fel tillåter angripare att injicera skript via URL-sökparametern. Avslöjades i mars och påverkar version 14.5 och tidigare. De injicerade skripten körs när en användare kommer åt en infekterad sida, med angripare som lägger till parametern 'utm_id' i förfrågningar för att säkerställa att nyttolasten visas på de mest besökta sidorna.
WP Meta SEO-sårbarhet: CVE-2023-6961
Den andra sårbarheten, CVE-2023-6961, påverkar WP Meta SEO-plugin, med över 20 000 aktiva installationer. Denna bugg tillåter angripare att injicera en nyttolast på sidor som genererar ett 404-svar. När en administratör laddar en sådan sida hämtar skriptet obfuskerad JavaScript-kod från en fjärrserver. Om administratören är autentiserad kan nyttolasten stjäla deras autentiseringsuppgifter.
LiteSpeed Cache-sårbarhet: CVE-2023-40000
Den tredje sårbarheten, CVE-2023-40000, riktar sig till plugin-programmet LiteSpeed Cache, som har över 5 miljoner aktiva installationer. Angripare döljer XSS-nyttolasten som en administratörsavisering, som utlöser skriptet när en administratör får tillgång till en backend-sida. Detta gör att skriptet kan köras med hjälp av administratörens autentiseringsuppgifter för efterföljande skadliga åtgärder.
Fastlys undersökning har identifierat fem domäner som hänvisas till i de skadliga nyttolasterna, tillsammans med ytterligare två domäner som används för spårning, varav minst en tidigare har associerats med exploatering av sårbara WordPress-plugin-program. Webbplatsadministratörer som använder de berörda pluginsna rekommenderas att uppdatera till de senaste versionerna omedelbart och övervaka sina webbplatser för misstänkt aktivitet.