Ang Mga Nakakahamak na Script at Backdoors ay Nagta-target ng Mga Kritikal na Kakulangan sa Plugin ng WordPress
Isang bagong alon ng cyberattacks ang nagsasamantala sa mga kahinaan sa tatlong malawakang ginagamit na WordPress plugin, na nag-iiniksyon ng mga nakakahamak na script at backdoors sa mga website, nagbabala sa Mabilis. Ang mga kritikal na bahid na ito ay nagbibigay-daan sa mga umaatake na magsagawa ng mga hindi napatotohanan na nakaimbak na cross-site scripting (XSS) na mga pag-atake, na pinapadali ang paglikha ng mga hindi awtorisadong WordPress administrator account, ang pag-iniksyon ng PHP backdoors sa mga plugin at theme file, at ang pag-setup ng mga tracking script upang masubaybayan ang mga nakompromisong site.
Mabilis na nakakita ng malaking bilang ng mga pagtatangka sa pagsasamantala na nagmumula sa mga IP na naka-link sa Autonomous System (AS) IP Volume Inc. Kasama sa mga apektadong plugin ang WP Statistics, WP Meta SEO, at LiteSpeed Cache, na nakakaapekto sa milyun-milyong aktibong pag-install.
Talaan ng mga Nilalaman
Vulnerability ng WP Statistics: CVE-2024-2194
Ang unang kahinaan ay nakakaapekto sa WP Statistics plugin, na ipinagmamalaki ang higit sa 600,000 aktibong pag-install. Sinusubaybayan bilang CVE-2024-2194, ang kapintasang ito ay nagbibigay-daan sa mga umaatake na mag-inject ng mga script sa pamamagitan ng parameter ng paghahanap ng URL. Ibinunyag noong Marso, nakakaapekto ito sa mga bersyon 14.5 at mas luma. Ang mga na-inject na script ay isinasagawa sa tuwing maa-access ng isang user ang isang nahawaang pahina, kasama ng mga umaatake na nagdaragdag ng parameter na 'utm_id' sa mga kahilingan upang matiyak na lalabas ang payload sa mga pinakabinibisitang pahina.
WP Meta SEO Vulnerability: CVE-2023-6961
Ang pangalawang kahinaan, CVE-2023-6961, ay nakakaapekto sa WP Meta SEO plugin, na may higit sa 20,000 aktibong pag-install. Binibigyang-daan ng bug na ito ang mga umaatake na mag-inject ng payload sa mga page na bumubuo ng 404 na tugon. Kapag nag-load ang isang administrator ng naturang page, kinukuha ng script ang na-obfuscate na JavaScript code mula sa isang malayuang server. Kung napatotohanan ang administrator, maaaring nakawin ng payload ang kanilang mga kredensyal.
LiteSpeed Cache Vulnerability: CVE-2023-40000
Ang ikatlong kahinaan, ang CVE-2023-40000, ay nagta-target sa LiteSpeed Cache plugin, na mayroong higit sa 5 milyong aktibong pag-install. Itinatago ng mga attacker ang XSS payload bilang isang abiso ng admin, na nagti-trigger sa script sa pag-access ng administrator sa isang backend na pahina. Nagbibigay-daan ito sa script na isagawa gamit ang mga kredensyal ng administrator para sa mga kasunod na malisyosong pagkilos.
Natukoy ng pagsisiyasat ng Fastly ang limang domain na na-refer sa mga nakakahamak na payload, kasama ang dalawang karagdagang domain na ginagamit para sa pagsubaybay, kahit isa man lang sa mga ito ay dating nauugnay sa pagsasamantala sa mga mahihinang plugin ng WordPress. Ang mga administrator ng website na gumagamit ng mga apektadong plugin ay pinapayuhan na mag-update kaagad sa pinakabagong mga bersyon at subaybayan ang kanilang mga site para sa anumang kahina-hinalang aktibidad.