Злоумышленники пытаются активно использовать критическую брешь в системе безопасности WP‑Automatic plugin для WordPress, которая может привести к захвату сайта.
Недостаток, отслеживаемый как CVE-2024-27956, имеет оценку CVSS 9,9 из максимум 10. Это влияет на все версии плагина до версии 3.9.2.0.
"Эта уязвимость, ошибка SQL‑инъекции (SQLi), представляет серьезную угрозу, поскольку злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей уровня администратора, загрузки вредоносных файлов и, возможно, получения полного контроля над уязвимыми сайтами", - сказал WPScan в предупреждении на этой неделе.
По словам компании, принадлежащей Automattic, проблема коренится в механизме аутентификации пользователя плагина, который можно тривиально обойти для выполнения произвольных SQL-запросов к базе данных с помощью специально созданных запросов.
В ходе наблюдаемых на данный момент атак CVE-2024-27956 используется для несанкционированных запросов к базе данных и создания новых учетных записей администратора на уязвимых сайтах WordPress (например, имена, начинающиеся с "xtw"), которые затем могут быть использованы для последующих действий после использования.
Это включает в себя установку плагинов, которые позволяют загружать файлы или редактировать код, что указывает на попытки перепрофилировать зараженные сайты в качестве промежуточных.
"Как только сайт WordPress скомпрометирован, злоумышленники обеспечивают долговечность своего доступа, создавая бэкдоры и запутывая код", - сказал WPScan. "Чтобы избежать обнаружения и сохранить доступ, злоумышленники могут также переименовать уязвимый файл WP‑Automatic, затрудняя владельцам веб-сайтов или средствам безопасности идентификацию или блокировку проблемы".
Рассматриваемый файл "/wp-content/plugins/wp-automatic/inc/csv.php", который переименован во что-то вроде "wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php".
Тем не менее, возможно, что участники угрозы делают это в попытке помешать другим злоумышленникам использовать сайты, которые уже находятся под их контролем.
CVE-2024-27956 был публично раскрыт охранной фирмой WordPress Patchstack 13 марта 2024 года. С тех пор в дикой природе было обнаружено более 5,5 миллионов попыток атак с целью использования этого недостатка.
Раскрытие связано с обнаружением серьезных ошибок в таких плагинах, как Email Subscribers от Icegram Express (CVE-2024-2876, оценка CVSS: 9,8), Forminator (CVE-2024-28890, оценка CVSS: 9,8) и User Registration (CVE-2024-2417, оценка CVSS: 8,8), которые могут использоваться для извлечения конфиденциальных данных, таких как хэши паролей, из базы данных, загрузки произвольных файлов и предоставления аутентификатора права администратора пользователя.
Patchstack также предупредил о неисправленной проблеме в плагине Poll Maker (CVE-2024-32514, оценка CVSS: 9,9), которая позволяет аутентифицированным злоумышленникам с доступом уровня подписчика и выше загружать произвольные файлы на сервер уязвимого сайта, что приводит к удаленному выполнению кода.
Недостаток, отслеживаемый как CVE-2024-27956, имеет оценку CVSS 9,9 из максимум 10. Это влияет на все версии плагина до версии 3.9.2.0.
"Эта уязвимость, ошибка SQL‑инъекции (SQLi), представляет серьезную угрозу, поскольку злоумышленники могут использовать ее для получения несанкционированного доступа к веб-сайтам, создания учетных записей пользователей уровня администратора, загрузки вредоносных файлов и, возможно, получения полного контроля над уязвимыми сайтами", - сказал WPScan в предупреждении на этой неделе.
По словам компании, принадлежащей Automattic, проблема коренится в механизме аутентификации пользователя плагина, который можно тривиально обойти для выполнения произвольных SQL-запросов к базе данных с помощью специально созданных запросов.
В ходе наблюдаемых на данный момент атак CVE-2024-27956 используется для несанкционированных запросов к базе данных и создания новых учетных записей администратора на уязвимых сайтах WordPress (например, имена, начинающиеся с "xtw"), которые затем могут быть использованы для последующих действий после использования.
Это включает в себя установку плагинов, которые позволяют загружать файлы или редактировать код, что указывает на попытки перепрофилировать зараженные сайты в качестве промежуточных.
"Как только сайт WordPress скомпрометирован, злоумышленники обеспечивают долговечность своего доступа, создавая бэкдоры и запутывая код", - сказал WPScan. "Чтобы избежать обнаружения и сохранить доступ, злоумышленники могут также переименовать уязвимый файл WP‑Automatic, затрудняя владельцам веб-сайтов или средствам безопасности идентификацию или блокировку проблемы".
Рассматриваемый файл "/wp-content/plugins/wp-automatic/inc/csv.php", который переименован во что-то вроде "wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php".
Тем не менее, возможно, что участники угрозы делают это в попытке помешать другим злоумышленникам использовать сайты, которые уже находятся под их контролем.
CVE-2024-27956 был публично раскрыт охранной фирмой WordPress Patchstack 13 марта 2024 года. С тех пор в дикой природе было обнаружено более 5,5 миллионов попыток атак с целью использования этого недостатка.
Раскрытие связано с обнаружением серьезных ошибок в таких плагинах, как Email Subscribers от Icegram Express (CVE-2024-2876, оценка CVSS: 9,8), Forminator (CVE-2024-28890, оценка CVSS: 9,8) и User Registration (CVE-2024-2417, оценка CVSS: 8,8), которые могут использоваться для извлечения конфиденциальных данных, таких как хэши паролей, из базы данных, загрузки произвольных файлов и предоставления аутентификатора права администратора пользователя.
Patchstack также предупредил о неисправленной проблеме в плагине Poll Maker (CVE-2024-32514, оценка CVSS: 9,9), которая позволяет аутентифицированным злоумышленникам с доступом уровня подписчика и выше загружать произвольные файлы на сервер уязвимого сайта, что приводит к удаленному выполнению кода.
