Stosunkowo długo nie pisaliśmy o WordPressie. Nie znaczy to jednak, iż poziom bezpieczeństwa tej aplikacji diametralnie się poprawił. Właśnie pojawiło się ostrzeżenie Defiant o wykorzystaniu trzech krytycznych luk w zabezpieczeniach wtyczek WordPress GutenKit i Hunk Companion w nowej kampanii.
Masowa eksploatacja rozpoczęła się 8 października. Firma zajmująca się bezpieczeństwem WordPressa zablokowała około dziewięciu milionów prób ataku w ciągu dwóch tygodni. Jest to kontynuacja wcześniej zidentyfikowanych kampanii zakrojonych na dużą skalę, których celem były te same błędy.
Wersje GutenKit starsze niż 2.1.1 są dotknięte luką CVE-2024-9234, czyli brakiem kontroli funkcjonalności, co prowadzi do przesyłania dowolnych plików. Podatność umożliwia atakującym instalację i aktywację dowolnych wtyczek lub przesyłanie plików podszywających się pod nie.
Wersje Hunk Companion starsze niż 1.8.4 i 1.8.5 są podatne na nieautoryzowaną instalację/aktywację wtyczek z powodu dwóch luk w zabezpieczeniach braku kontroli funkcjonalności w punkcie końcowym interfejsu REST API „themehunk-import”.
Luki oznaczone numerami CVE-2024-9707 i CVE-2024-11972 umożliwiają nieuwierzytelnionym atakującym instalowanie wtyczek i zdalne wykonywanie kodu za pośrednictwem innych podatnych na ataki dodatków do aplikacji CRM.
W ramach ostatnich ataków wymierzonych w te trzy podatności atakujący rozpowszechnił złośliwy plik ZIP podszywający się pod wtyczkę hostowaną w serwisie GitHub.
Plik zawiera wiele rodzajów skryptów. Niektóre działają jak backdoory i próbują zapewnić trwałość. Jeden umożliwia atakującym automatyczne logowanie się jako administrator. Kolejne zmieniają uprawnienia plików, umożliwiając atakującym pobieranie i przeglądanie ich oraz archiwizowanie całych folderów w plikach ZIP, a jeszcze inne służą do przesyłania plików i zarządzania nimi. Pośród plików znalazło się także narzędzie umożliwiające masowy defacing, podsłuchiwanie sieci i zarządzanie plikami. Oferuje ono również funkcję zdalnego wykonywania kodu, umożliwiając atakującym wdrażanie dodatkowych ładunków.
GutenKit i Hunk Companion mają odpowiednio ponad 40 000 i 8 000 aktywnych instalacji. Chociaż wykorzystane luki zostały załatane ponad rok temu, przez cały czas stanowią atrakcyjne cele dla cyberprzestępców, co udowadnia świeża kampania. Administratorom witryn zaleca się aktualizację wtyczek do najnowszych, załatanych wersji oraz sprawdzenie wskaźników zagrożenia (IOC) udostępnianych przez Defiant w celu zidentyfikowania potencjalnych zagrożeń.
