Hackerii au început să vizeze o vulnerabilitate de severitate critică în pluginul WP Automatic pentru WordPress pentru a crea conturi de utilizator cu privilegii de administrator și pentru a planta backdoor-uri pentru acces pe termen lung.
Instalat în prezent pe mai mult de 30.000 de site-uri web, WP Automatic permite administratorilor să automatizeze importul de conținut (de exemplu, text, imagini, video) din diverse surse online și publicarea pe site-ul lor WordPress.
Vulnerabilitatea exploatată este identificată ca CVE-2024-27956 și a primit un scor de severitate de 9,9 / 10.
A fost divulgată public de cercetătorii de la serviciul de mitigare a vulnerabilității PatchStack pe 13 martie și a fost descrisă ca o problemă de injecție SQL care afectează versiunile WP Automatic anterioare 3.9.2.0.
Problema este în mecanismul de autentificare a utilizatorului al pluginului, care poate fi evitat pentru a trimite interogări SQL către baza de date a site-ului. Hackerii pot folosi interogări special create pentru a crea conturi de administrator pe site-ul țintă.
De la dezvăluirea problemei de securitate de către PatchStack, WPScan de la Automattic a observat peste 5,5 milioane de atacuri încercând să exploateze vulnerabilitatea, majoritatea fiind înregistrate pe 31 martie.
WPScan raportează că după obținerea accesului de administrator la site-ul țintă, atacatorii creează backdoor-uri și codează codul pentru a-l face mai greu de găsit.
„Odată ce un site WordPress este compromis, atacatorii asigură longevitatea accesului lor prin crearea de backdoor-uri și codificarea codului,” se arată în raportul WPScan.
Pentru a preveni alți hackeri să compromită site-ul prin exploatarea aceleiași probleme și pentru a evita detectarea, hackerii redenumește fișierul vulnerabil „csv.php”.
Odată ce obțin controlul site-ului, actorul amenințării instalează adesea module suplimentare care permit încărcarea fișierelor și editarea codului.
WPScan oferă un set de indicatori de compromitere care pot ajuta administratorii să determine dacă site-ul lor a fost spart.
Administratorii pot verifica semnele că hackerii au preluat site-ul căutând prezența unui cont de administrator care începe cu „xtw” și fișiere numite web.php și index.php, care sunt backdoor-urile plantate în campania recentă.
Pentru a reduce riscul de a fi spart, cercetătorii recomandă administratorilor site-urilor WordPress să actualizeze pluginul WP Automatic la versiunea 3.92.1 sau ulterioară.
WPScan recomandă, de asemenea, proprietarilor de site-uri să creeze frecvent copii de siguranță ale site-ului lor pentru a putea instala copii curate rapid în caz de compromitere.
Defect critic în pluginul LayerSlider WordPress afectează 1 milion de site-uri
Defect critic al pluginului Forminator afectează peste 300k de site-uri WordPress
Hackerii exploatează defectul pluginului WordPress pentru a infecta 3.300 de site-uri cu malware
Hackerii exploatează defectul critic RCE în constructorul de site-uri WordPress Bricks
22.500 de firewall-uri Palo Alto „posibil vulnerabile” la atacuri în curs
Leave a Reply