Шкідливі сценарії та бекдори спрямовані на критичні недоліки плагінів WordPress
Нова хвиля кібератак використовує уразливості в трьох широко використовуваних плагінах WordPress, впроваджуючи шкідливі сценарії та бекдори на веб-сайти, попереджає Fastly. Ці критичні недоліки дозволяють зловмисникам виконувати неавтентифіковані атаки на збережені міжсайтові сценарії (XSS), сприяючи створенню неавторизованих облікових записів адміністратора WordPress, впровадженню бекдорів PHP у файли плагінів і тем і налаштуванню сценаріїв відстеження для моніторингу скомпрометованих сайтів.
Компанія Fastly помітила значну кількість спроб використання з IP-адрес, пов’язаних з автономною системою (AS) IP Volume Inc. Серед плагінів, які постраждали, WP Statistics, WP Meta SEO та LiteSpeed Cache, впливають на мільйони активних установок.
Зміст
Уразливість WP Statistics: CVE-2024-2194
Перша вразливість впливає на плагін WP Statistics, який може похвалитися понад 600 000 активних установок. Відстежується як CVE-2024-2194, ця вада дозволяє зловмисникам вводити сценарії через параметр пошуку URL-адреси. Оголошений у березні, він впливає на версії 14.5 і раніші. Впроваджені сценарії виконуються щоразу, коли користувач отримує доступ до зараженої сторінки, а зловмисники додають параметр utm_id до запитів, щоб переконатися, що корисне навантаження відображається на найбільш відвідуваних сторінках.
WP Meta SEO вразливість: CVE-2023-6961
Друга вразливість, CVE-2023-6961, впливає на плагін WP Meta SEO, який має понад 20 000 активних установок. Ця помилка дозволяє зловмисникам вставляти корисне навантаження на сторінки, генеруючи відповідь 404. Коли адміністратор завантажує таку сторінку, сценарій отримує заплутаний код JavaScript із віддаленого сервера. Якщо адміністратор автентифікований, корисне навантаження може викрасти його облікові дані.
Уразливість кешу LiteSpeed: CVE-2023-40000
Третя вразливість, CVE-2023-40000, націлена на плагін LiteSpeed Cache, який має понад 5 мільйонів активних установок. Зловмисники маскують корисне навантаження XSS як сповіщення адміністратора, запускаючи сценарій після доступу адміністратора до серверної сторінки. Це дозволяє сценарію виконувати з використанням облікових даних адміністратора для подальших зловмисних дій.
Розслідування Fastly виявило п’ять доменів, на які посилаються шкідливі файли, а також два додаткові домени, які використовуються для відстеження, принаймні один з яких раніше був пов’язаний з використанням уразливих плагінів WordPress. Адміністраторам веб-сайтів, які використовують уражені плагіни, рекомендовано негайно оновити їх до останніх версій і контролювати свої сайти на предмет будь-якої підозрілої активності.