Recent, o campanie extinsă de exploatare vizează site-urile WordPress care utilizează plugin-urile GutenKit și Hunk Companion, vulnerabile la isse-uri de securitate vechi, care pot fi folosite pentru executarea de cod la distanță (RCE).
Firma de securitate WordPress, Wordfence, a blocat 8,7 milioane de încercări de atac împotriva clienților săi în doar două zile, pe 8 și 9 octombrie.
Campania exploatează trei vulnerabilități, denumite CVE-2024-9234, CVE-2024-9707 și CVE-2024-11972, toate clasificate ca fiind critice (CVSS 9.8).
CVE-2024-9234 este o vulnerabilitate REST-endpoint neautentificată în plugin-ul GutenKit, cu 40.000 de instalări, care permite instalarea de plugin-uri arbitrare fără autentificare.
CVE-2024-9707 și CVE-2024-11972 sunt vulnerabilități de autorizare lipsă în punctul final REST themehunk-import al plugin-ului Hunk Companion (8.000 de instalări), care pot duce, de asemenea, la instalarea de plugin-uri arbitrare.
Un atacator autentificat poate exploata vulnerabilitățile pentru a introduce un alt plugin vulnerabil care permite executarea de cod la distanță.
Reparațiile pentru cele trei vulnerabilități au devenit disponibile în Gutenkit 2.1.1, lansat în octombrie 2024, și Hunk Companion 1.9.0, lansat în decembrie 2024. Cu toate acestea, în ciuda faptului că vendorul le-a reparat acum aproape un an, multe site-uri continuă să folosească versiuni vulnerabile.
Observațiile Wordfence bazate pe datele de atac indică faptul că cercetătorii spun că actorii de amenințare găzduiesc pe GitHub un plugin malicios într-un arhivă .ZIP numit ‘up’.
Arhiva conține scripturi obfuscate care permit încărcarea, descărcarea și ștergerea fișierelor și schimbarea permisiunilor. Unul dintre scripturi, protejat cu o parolă, mascându-se ca un component al plugin-ului All in One SEO, este folosit pentru a se conecta automat atacatorul ca administrator.
Atacatorii folosesc aceste instrumente pentru a menține persistența, a fura sau a lăsa fișiere, a executa comenzi sau a fura date private gestionate de site.
Când atacatorii nu pot ajunge direct la o ușă din spate completă a administratorului prin pachetul instalat, ei instalează adesea un plugin vulnerabil ‘wp-query-console’ care poate fi exploatat pentru RCE neautentificat.
Wordfence a listat mai multe adrese IP care generează volume mari de aceste cereri malitioase, ceea ce poate ajuta la crearea de apărare împotriva acestor atacuri.
Ca indicator de compromis, cercetătorii spun că administratorii ar trebui să caute solicitările /wp-json/gutenkit/v1/install-active-plugin și /wp-json/hc/v1/themehunk-import în jurnalele de acces ale site-ului.
Ar trebui să verifice, de asemenea, directoarele /up, /background-image-cropper, /ultra-seo-processor-wp, /oke și /wp-query-console, pentru orice intrări suspecte.
Administratorii sunt recomandați să mențină toate plugin-urile de pe site-urile lor actualizate la cea mai recentă versiune disponibilă de la vendor.
46% dintre mediile de lucru au avut parole sparte, aproape dublându-se față de 25% anul trecut.
Obțineți acum Raportul Picus Blue 2025 pentru o privire cuprinzătoare asupra mai multor constatări privind tendințele de prevenire, detectare și exfiltrare a datelor.
Hackerii exploatează gravitatea critică a defectului ‘SessionReaper’ în Adobe Magento
Hackerii exploatează bypasarea autentificării în tema WordPress-ul Service Finder
CISA avertizează cu privire la defectul Lanscope Endpoint Manager exploatat în atacuri
Atacurile Sharepoint ToolShell au vizat organizații din patru continente
CISA confirmă că hackerii au exploatat defectul Oracle E-Business Suite SSRF
Leave a Reply