Уязвимости в WordPress плъгини се използват за създаване на фалшиви администраторски акаунти

Внимание администратори и собственици на WordPress сайтове!

Нова порция уязвими плъгини за WordPress позволяват създаване на администраторски прфоили в засегнатите сайтове без знанието или съгласието на собствениците им.

Изследователите Симран Халса, Ксавие Стивънс и Матю Матур от Fastly идентифицираха тези уязвимости, които основно се дължат на недостатъчна филтрация на входните данни и неадекватно обработване на изходните данни. Този недостатък позволява на атакуващите да инжектират злонамерени скриптове чрез неавтентикирани cross-site scripting (XSS) атаки.

Конкретните идентифицирани уязвимости са както следва:

• CVE-2023-6961 (CVSS оценка: 7.2): XSS в WP Meta SEO <= 4.5.12
• CVE-2023-40000 (CVSS оценка: 8.3): XSS в LiteSpeed Cache <= 5.7
• CVE-2024-2194 (CVSS оценка: 7.2): XSS в WP Statistics <= 14.5

Плъгините се използват основно за инжектиране на зловреден payload в засегнатите сайтове, който представлява обфускиран JavaScript файл, хостван на външен домейн. Този скрипт е отговорен за създаването на нови администраторски акаунти, вкарване на бекдор и настройване на тракинг скриптове за наблюдение на компрометираните сайтове.

Втората стъпка от атаката е инсталирне на PHP бекдор, който се разполага както в плъгините, така и в темите на сайта. Тракинг скриптът е проектиран да изпраща HTTP GET заявка, съдържаща информация за HTTP хоста към отдалечен сървър, по-специално към „ur.mystiqueapi[.]com/?ur“. Този сървър е контролиран от атакуващите, което улеснява наблюдението и последващи експлоатации.

Важно е да се отбележи, че изследователите от Fastly са открили, че значителна част от опитите за експлоатация, произхождат от IP адреси, свързани с Autonomous System (AS) IP Volume Inc. (AS202425), като значителен брой атаки са проследени до източници в Нидерландия.

Тази вълна от пробиви напомня за предишни разкрития на WPScan, видна компания за сигурност на WordPress, която също е докладвала за подобни атаки, насочени към CVE-2023-40000. Тези атаки също са целели създаването на неауторизирани администраторски акаунти на уязвими уебсайтове.

За да се намалят рисковете, свързани с тези уязвимости, е от съществено значение собствениците на WordPress сайтове да предприемат незабавни действия. Препоръчителните стъпки включват:

1. Преглед на инсталираните плъгини: Внимателно проверете всички инсталирани плъгини за потенциални уязвимости.
2. Прилагане на актуализации: Уверете се, че всички плъгини са актуализирани до най-новите версии, които могат да включват критични кръпки за сигурност.
3. Одит на уебсайтовете: Проведете подробни одити, за да сте сигурни че сайта ви отговаря на добрите практики.