Af Eskil Sørensen, 29/04/24
Trusselaktører forsøger nu aktivt at udnytte en kritisk sårbarhed et plugin til WordPress, der muliggør overtagelser af websteder.
Det skriver The Hacker News.
Sårbarheden i det pågældende plugin, WP-Automatic, har id’et CVE-2024-27956 og en CVSS-score på 9,9. Fejlen påvirker alle versioner af plugin’et før 3.92.0, men er blevet løst i den seneste version 3.92.1, som blev udgivet den 27. februar 2024.
Der er tale om en SQL injection-sårbarhed, der ved udnyttelse giver mulighed for stort set alt: Uautoriseret adgang til websteder, oprettelse af brugerkonti på administratorniveau, upload af ondsindede filer og potentielt overtagelse af fuld kontrol med berørte websteder.
Problemet er forankret i plugin'ets mekanisme til brugergodkendelse. Denne kan ifølge det oplyste omgås ved hjælp af specialfremstillede anmodninger – og dette åbner for afvikling af vilkårlige SQL-forespørgsler mod databasen.
Hidtil er der observeret udnyttelsesforsøg i form af uautoriserede databaseforespørgsler og oprettelse af nye adminkonti på de sårbare WordPress-websteder. Dette har så medført yderligere udnyttelser som installation af andre plugins til WordPress, der gør det muligt at uploade filer eller redigere kode, hvilket indikerer forsøg på at genbruge de inficerede websteder som ”stagers”. En stager er betegnelsen som en kompakt eksekverbar fil, der bruges i cyberangreb over flere trin til levering af større ondsindede moduler til ofrets enhed.
Der findes ikke så sjældent sårbarheder i plugins til WordPress, som kommer under udnyttelse.
Links:
https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin...