Istraživači cyber sigurnosti upozorili su da višestruke sigurnosne ranjivosti visoke ozbiljnosti u WordPress dodacima aktivno iskorištavaju hakeri kako bi kreirali lažne administratorske naloge za naknadnu eksploataciju.
“Ove ranjivosti se nalaze u raznim WordPress dodacima i sklone su napadima neautoriziranih pohranjenih skriptova na više lokacija (XSS) zbog neadekvatne sanacije ulaza i izbjegavanja izlaza, što omogućava napadačima da ubace zlonamjerne skripte”, istraživači Fastly Simran Khalsa, Xavier Stevens , a Matthew Mathur je rekao .
Dotične sigurnosne greške su navedene u nastavku:
- CVE-2023-6961 (CVSS rezultat: 7,2) – Neautorizovano pohranjeno skriptovanje na više lokacija u WP Meta SEO <= 4.5.12
- CVE-2023-40000 (CVSS rezultat: 8,3) – Neautorizovano pohranjeno skriptovanje na više lokacija u LiteSpeed kešu <= 5,7
- CVE-2024-2194 (CVSS rezultat: 7,2) – Neautorizovano pohranjeno skriptovanje na više lokacija u WP statistici <= 14,5
Lanci napada koji iskorištavaju nedostatke uključuju ubacivanje korisnog opterećenja koje ukazuje na zamagljeni JavaScript fajl koji se nalazi na vanjskom domenu, koji je odgovoran za kreiranje novog administratorskog naloga, ubacivanje backdoor-a i postavljanje skripti za praćenje.
PHP backdoors se ubrizgavaju i u dodatke i datoteke teme, dok je skripta za praćenje dizajnirana da pošalje HTTP GET zahtjev koji sadrži informacije o HTTP hostu udaljenom serveru (“ur.mystiqueapi[.]com/?ur”).
Fastly je rekao da je otkrio značajan dio pokušaja eksploatacije koji potiču sa IP adresa povezanih sa Autonomous System (AS) IP Volume Inc. ( AS202425 ), a dio toga dolazi iz Holandije.
Vrijedi napomenuti da je WordPress sigurnosna kompanija WPScan ranije otkrila slične pokušaje napada koji ciljaju na CVE-2023-40000 kako bi kreirali lažne administratorske račune na podložnim web lokacijama.
Kako bi ublažili rizike koje predstavljaju takvi napadi, preporučuje se da vlasnici WordPress stranica pregledaju svoje instalirane dodatke, primjenjuju najnovija ažuriranja i preispitaju stranice u potrazi za znakovima zlonamjernog softvera ili prisutnosti sumnjivih korisnika administratora.
Izvor:The Hacker News