Plačiai paplitusi išnaudojimo kampanija skirta „WordPress“ svetainėms su „GutenKit“ ir „Hunk Companion“ papildiniais, pažeidžiamais dėl kritinio sunkumo, senų saugos problemų, kurias galima naudoti nuotoliniam kodo vykdymui (RCE).
„WordPress“ saugos įmonė „Wordfence“ teigia, kad vos per dvi dienas, spalio 8 ir 9 d., blokavo 8,7 mln. bandymų atakuoti savo klientus.
Kampanijoje yra trys trūkumai, stebimi kaip CVE-2024-9234, CVE-2024-9707 ir CVE-2024-11972, visi įvertinti kritiniais (CVSS 9.8).
CVE-2024-9234 yra neautentifikuotas REST galinio taško trūkumas „GutenKit“ įskiepyje su 40 000 įdiegimų, leidžiantis įdiegti savavališkus papildinius be autentifikavimo.
CVE-2024-9707 ir CVE-2024-11972 trūksta „Hunk Companion“ papildinio „themehunk-import REST“ galutinio taško (8 000 įdiegimų), dėl kurių taip pat gali būti įdiegiami savavališki papildiniai.
Autentifikuotas užpuolikas gali panaudoti pažeidžiamumą ir įdiegti kitą pažeidžiamą papildinį, leidžiantį nuotoliniu būdu vykdyti kodą.
- CVE-2024-9234 turi įtakos GutenKit 2.1.0 ir ankstesnėms versijoms
- CVE-2024-9707 paveikia 1.8.4 ir senesnes Hunk Companion versijas
- CVE-2024-11972 paveikia Hunk Companion 1.8.5 ir ankstesnes versijas
Trijų pažeidžiamumų pataisymai tapo prieinami 2024 m. spalio mėn. išleistoje „Gutenkit 2.1.1“ ir „Hunk Companion 1.9.0“, išleistoje 2024 m. gruodį. Tačiau nepaisant to, kad pardavėjas jas ištaisė beveik prieš metus, daugelis svetainių ir toliau naudoja pažeidžiamas versijas.
Šaltinis: Wordfence
„Wordfence“ stebėjimai, pagrįsti atakų duomenimis, rodo, kad tyrėjai teigia, kad grėsmės veikėjai „GitHub“ talpina kenkėjišką įskiepį .ZIP archyve, vadinamame „up“.
Archyve yra užmaskuotų scenarijų, leidžiančių įkelti, atsisiųsti ir ištrinti failus bei keisti leidimus. Vienas iš scenarijų, apsaugotas slaptažodžiu, užmaskuotas kaip SEO įskiepio „Viskas viename“ komponentas, naudojamas automatiškai prisijungti prie užpuoliko kaip administratorius.
Užpuolikai naudoja šiuos įrankius, kad išlaikytų atkaklumą, pavogtų arba išmestų failus, vykdytų komandas arba uostytų privačius svetainės tvarkomus duomenis.
Kai užpuolikai negali tiesiogiai pasiekti visų administratoriaus užpakalinių durų per įdiegtą paketą, jie dažnai įdiegia pažeidžiamą „wp-query-console“ papildinį, kurį galima panaudoti neautentifikuotam RCE.
„Wordfence“ išvardijo kelis IP adresus, kurie skatina didelius šių kenkėjiškų užklausų kiekius, o tai gali padėti sukurti apsaugą nuo šių atakų.
Kaip kompromiso rodiklį mokslininkai teigia, kad administratoriai turėtų ieškoti /wp-json/gutenkit/v1/install-active-plugin ir /wp-json/hc/v1/themehunk-import užklausas svetainės prieigos žurnaluose.
Jie taip pat turėtų patikrinti katalogus /aukštyn, /background-image-cropper, /ultra-seo-procesor-wp, /geraiir /wp-query-consoleuž bet kokius nesąžiningus įrašus.
Administratoriui rekomenduojama, kad visi papildiniai savo svetainėse būtų atnaujinami iki naujausios versijos, kurią gali gauti pardavėjas.
46 % aplinkų slaptažodžiai buvo nulaužti, beveik dvigubai daugiau nei 25 % praėjusiais metais.
Gaukite „Picus Blue Report 2025“ dabar, kad išsamiai apžvelgtumėte daugiau išvadų apie prevencijos, aptikimo ir duomenų išfiltravimo tendencijas.
