Stare luki w wtyczkach GutenKit i Hunk Companion masowo wykorzystywane do ataków na WordPressa

Wprowadzenie do problemu / definicja luki

Defiant (Wordfence) ostrzega przed nową falą masowych ataków na strony WordPress, w których przestępcy wykorzystują trzy krytyczne luki w dwóch popularnych wtyczkach: GutenKit oraz Hunk Companion. Według podsumowania SecurityWeek, kampania ponownie rozkręciła się 8 października 2025 r., a w ciągu dwóch tygodni zablokowano ok. 9 mln prób eksploatacji tych błędów. Ataki polegają m.in. na nieautoryzowanej instalacji/aktywacji wtyczek oraz przesyłaniu plików pozwalających na przejęcie witryny i utrzymanie dostępu.

W skrócie

• Dotknięte wtyczki: GutenKit (≤ 2.1.0/2.1.0; naprawa w 2.1.1), Hunk Companion (luki do 1.8.4 i obejście naprawy – CVE-2024-11972; naprawy min. w 1.8.5).
• Skutki: możliwość RCE poprzez instalację złośliwych lub podatnych wtyczek, upload backdoorów, automatyczne logowanie jako administrator, masowe „deface’y”.
• Skala: miliony zablokowanych prób; fala od 8.10.2025 r., raporty potwierdzające kampanię również poza Defiant.
• Działania natychmiastowe: aktualizacja do najnowszych wersji, przegląd logów/plików pod kątem IOC, rotacja haseł i kluczy, twarde reguły WAF i ograniczenia API.

Kontekst / historia / powiązania

Obie luki są „znane” od 2024 r. i mają przypisane identyfikatory CVE-2024-9234 (GutenKit) oraz CVE-2024-9707 i CVE-2024-11972 (Hunk Companion – druga to obejście pierwszej). Mimo iż poprawki zostały opublikowane ponad rok temu, niski poziom aktualizacji w ekosystemie WordPress sprawia, iż stare błędy pozostają atrakcyjnym celem dla operatorów botnetów i grup przestępczych. Najnowsza fala ataków potwierdza tę tendencję.

Analiza techniczna / szczegóły luki

GutenKit (CVE-2024-9234)

• Błąd to brak kontroli uprawnień w funkcji odpowiadającej za instalację/aktywację wtyczek zewnętrznych (REST endpoint install-active-plugin). Skutkiem jest nieautoryzowany upload plików podszywających się pod wtyczki i możliwość aktywacji czegokolwiek – droga do RCE. Podatne były wersje ≤ 2.1.0, naprawa w 2.1.1.

Hunk Companion (CVE-2024-9707 i CVE-2024-11972)

• W REST API wp-json/hc/v1/themehunk-import występował brak weryfikacji uprawnień, co pozwalało niezalogowanemu napastnikowi instalować/aktywować dowolne wtyczki z repozytorium, a następnie eskalować do RCE z użyciem podatnych rozszerzeń. Luka CVE-2024-11972 została opisana jako obejście poprzedniej poprawki (patch bypass). Naprawy udokumentowano co najmniej w 1.8.5 (część źródeł mówi o 1.9.0 – zalecamy najnowszą wersję).

Łańcuch ataku i artefakty

• Defiant opisał dystrybucję złośliwego archiwum ZIP podszywającego się pod wtyczkę hostowanego na GitHubie. W paczce znajdowały się skrypty‐backdoory zapewniające persistencję, automatyczne logowanie na admina, zmiany uprawnień plików, eksfiltrację (przeglądanie/pobieranie plików, tworzenie ZIP całych katalogów), a choćby narzędzia do hurtowej defacement oraz sniffingu.

Praktyczne konsekwencje / ryzyko

• Pełne przejęcie witryny (RCE) i trwały dostęp dzięki backdoorom.
• Masowe nadużycia SEO/defacement, wstrzyknięcia skryptów reklamowych lub przekierowań.
• Wycieki danych z wp-content/wp-includes oraz kopii konfiguracyjnych.
• Lateral movement na współdzielonych hostingach poprzez wspólne zasoby.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja:
   • GutenKit → ≥ 2.1.1.
   • Hunk Companion → ≥ 1.8.5 (lub nowsza dostępna; część źródeł wskazuje 1.9.0).
2. Audyt plików i IOC: poszukaj nieznanych katalogów w wp-content/plugins/ i wp-content/uploads/, plików .php w uploads/, świeżych zip/tar, skryptów z funkcjami system()/exec() oraz wpisów w wp_options (active_plugins) dodających obce wtyczki – nawiązanie do artefaktów opisanych przez Defiant.
3. Twarde reguły WAF: blokuj/ograniczaj dostęp do newralgicznych endpointów REST, w tym install-active-plugin, themehunk-import, metod POST z niezaufanych UA/ASN; włącz weryfikację nonces i nagłówków.
4. Ograniczenia administracyjne: zablokuj instalację wtyczek z poziomu frontu/REST (np. DISALLOW_FILE_MODS), wymuś MFA dla wp-admin/, zmniejsz powierzchnię API (application passwords, wyłącz nieużywane).
5. Higiena kont/kluczy: rotacja haseł, keys & salts w wp-config.php; przejrzyj konta adminów (szukaj „nowych” użytkowników).
6. Reakcja na incydent: o ile wykryto ślady kompromitacji – migruj na czyste środowisko, wgraj świeżą kopię WordPressa i motywu, przywróć tylko zweryfikowaną treść, a nie pliki wykonywalne.

Różnice / porównania z innymi przypadkami

• W przeciwieństwie do klasycznych RCE przez upload w formularzach, tutaj wektor to funkcje instalacji/aktywacji wtyczek w REST API – przez to atak jest szybki i automatyzowalny (botnety).
• Schemat przypomina wcześniejsze fale przeciw popularnym wtyczkom (np. serie przejęć poprzez installer endpoints); niezależne raporty (m.in. BleepingComputer) potwierdzają bieżącą masowość kampanii.

Podsumowanie / najważniejsze wnioski

• To nie zero-daye, ale stare luki – dlatego najważniejsze jest utrzymywanie aktualizacji.
• Atakujący wykorzystują REST API do wgrywania i aktywowania komponentów prowadzących do pełnego przejęcia strony.
• Administratorzy powinni łączyć patching z kontrolami konfiguracyjnymi (wyłączenie możliwości instalacji, ograniczenie API), monitoringiem integralności plików i MFA.

Źródła / bibliografia

• SecurityWeek: opis kampanii (daty, skala, modus operandi ZIP/backdoory). (SecurityWeek)
• NVD (CVE-2024-9234 – GutenKit): szczegóły błędu i zakres wersji. (NVD)
• NVD (CVE-2024-9707 – Hunk Companion): szczegóły endpointu i wpływu. (NVD)
• The Hacker News (CVE-2024-11972 – obejście naprawy, wersja naprawcza 1.8.5). (The Hacker News)
• WPScan / Baza podatności (GutenKit < 2.1.1 – Arbitrary File Upload). (WPScan)
• (Dodatkowo o bieżącej fali) BleepingComputer: niezależne potwierdzenie masowych ataków (24.10.2025). (BleepingComputer)