MILIONI SAJTOVA NA METI: Otkrivena ozbiljna greška u WordPressu koja može dovesti do potpunog preuzimanja

Shutterstock

Otkriveno je da hakeri pokušavaju da aktivno iskoriste kritičnu bezbednosnu grešku u dodatku WP‑Automatic za WordPress koji bi mogao da dozvoli preuzimanje sajta.

Nedostatak, praćen kao CVE-2024-27956, nosi CVSS ocenu 9,9 od maksimalnih 10. Utiče na sve verzije dodatka pre 3.9.2.0.

„Ova ranjivost, mana SQL injekcije (SQLi), predstavlja ozbiljnu pretnju jer napadači mogu da je iskoriste da bi dobili neovlašćeni pristup web lokacijama, kreirali korisničke naloge na nivou administratora, otpremali zlonamerne datoteke i potencijalno preuzeli potpunu kontrolu nad pogođenim sajtovima“, rekao je WPScan u upozorenju.

Prema kompaniji u vlasništvu Automattic-a, problem je ukorenjen u mehanizmu za autentifikaciju korisnika dodatka, koji se trivijalno može zaobići da bi se izvršili proizvoljni SQL upiti prema bazi podataka pomoću posebno kreiranih zahteva.

Shutterstock 
foto: Shutterstock

U do sada uočenim napadima, CVE-2024-27956 se koristi za neovlašćene upite baze podataka i kreiranje novih administratorskih naloga na podložnim WordPress sajtovima (npr. imena koja počinju sa „xtw“), koji bi se zatim mogli iskoristiti za naknadne radnje eksploatacije.

Ovo uključuje instaliranje dodataka koji omogućavaju otpremanje datoteka ili uređivanje koda, što ukazuje na pokušaje da se zaražene web lokacije prenamene kao etape.

„Kada je WordPress sajt kompromitovan, napadači obezbeđuju dugovečnost svog pristupa kreiranjem pozadinskih vrata i zamagljivanjem koda“, rekao je WPScan. „Da bi izbegli otkrivanje i zadržali pristup, napadači mogu takođe da preimenuju ranjivu datoteku WP‑Automatic, što otežava vlasnicima web lokacija ili bezbednosnim alatima da identifikuju ili blokiraju problem.“

Shutterstock 
foto: Shutterstock

Datoteka u pitanju je „/vp‑content/plugins/vp‑automatic/inc/csv.php“, koja je preimenovana u nešto poput „vp‑content/plugins/vp‑automatic/inc/csv65f82ab408b3.php“.

Međutim, moguće je da akteri pretnji to čine u pokušaju da spreče druge napadače da iskoriste sajtove koji su već pod njihovom kontrolom.

CVE-2024-27956 je javno obelodanila WordPress bezbednosna firma Patchstack 13. marta 2024. Od tada je otkriveno više od 5,5 miliona pokušaja napada.

Shutterstock 
foto: Shutterstock

Otkrivanje dolazi pošto su ozbiljne greške otkrivene u dodacima kao što su Pretplatnici e-pošte kompanije Icegram Express (CVE-2024-2876, CVSS rezultat: 9,8), Forminator (CVE-2024-28890, CVSS rezultat: 9,8) i Registracija korisnika (CVE- 2024-2417, CVSS rezultat: 8,8) koji se može koristiti za izdvajanje osetljivih podataka kao što su hešovi lozinki iz baze podataka, otpremanje proizvoljnih datoteka i odobravanje administratorskih privilegija korisnika autentifikatora.

Patchstack je takođe upozorio na problem koji nije zakrpljen u dodatku Poll Maker (CVE-2024-32514, CVSS rezultat: 9,9) koji omogućava autentifikovanim napadačima, sa pristupom na nivou pretplatnika i iznad, da otpremaju proizvoljne datoteke na server pogođene lokacije, što dovodi na daljinsko izvršavanje koda.