Το WP Automatic plugin επιδιορθώθηκε, αλλά οι πληροφορίες έκδοσης δεν αναφέρουν την κρίσιμη επιδιόρθωση.
Οι χάκερς επιτίθενται σε ιστότοπους που χρησιμοποιούν ένα γνωστό πρόσθετο WordPress με εκατομμύρια προσπάθειες να εκμεταλλευτούν μια ευπάθεια υψηλής σοβαρότητας που επιτρέπει την πλήρη κατάληψη, δήλωσαν ερευνητές.
Η ευπάθεια βρίσκεται στο WordPress Automatic, ένα πρόσθετο με περισσότερους από 38.000 συνδρομητές. Οι ιστότοποι που χρησιμοποιούν το σύστημα διαχείρισης περιεχομένου WordPress το χρησιμοποιούν για να ενσωματώνουν περιεχόμενο από άλλους ιστότοπους. Ερευνητές από την εταιρεία ασφαλείας Patchstack αποκάλυψαν τον περασμένο μήνα ότι οι εκδόσεις WP Automatic 3.92.0 και κάτω από αυτές είχαν μια ευπάθεια με βαθμό σοβαρότητας 9,9 από το δυνατό 10. Ο προγραμματιστής του πρόσθετου, η ValvePress, δημοσίευσε σιωπηρά ένα διορθωτικό, το οποίο είναι διαθέσιμο στις εκδόσεις 3.92.1 και μετά.
Οι ερευνητές έχουν ταξινομήσει το ελάττωμα, που εντοπίζεται ως CVE-2024-27956, ως SQL injection, μια κατηγορία ευπάθειας που προέρχεται από την αποτυχία μιας διαδικτυακής εφαρμογής να κάνει σωστά ερωτήματα σε backend βάσεις δεδομένων. Η σύνταξη της SQL χρησιμοποιεί αποσιωπητικά για να υποδεικνύει την αρχή και το τέλος μιας συμβολοσειράς δεδομένων. Εισάγοντας συμβολοσειρές με ειδικά τοποθετημένα αποσιωπητικά σε ευάλωτα πεδία του ιστότοπου, οι επιτιθέμενοι μπορούν να εκτελέσουν κώδικα που εκτελεί διάφορες ευαίσθητες ενέργειες, συμπεριλαμβανομένης της επιστροφής εμπιστευτικών δεδομένων, της παροχής προνομίων συστήματος διαχείρισης ή της υπονόμευσης του τρόπου λειτουργίας της εφαρμογής ιστού.
“Αυτή η ευπάθεια είναι εξαιρετικά επικίνδυνη και αναμένεται να γίνει μαζική εκμετάλλευση”, έγραψαν οι ερευνητές του Patchstack στις 13 Μαρτίου.
Η συνάδελφος εταιρεία ασφάλειας ιστού WPScan δήλωσε την Πέμπτη ότι έχει καταγράψει περισσότερες από 5,5 εκατομμύρια προσπάθειες εκμετάλλευσης της ευπάθειας από την αποκάλυψη της 13ης Μαρτίου από το Patchstack. Οι προσπάθειες, σύμφωνα με την WPScan, ξεκίνησαν αργά και κορυφώθηκαν στις 31 Μαρτίου. Η εταιρεία δεν ανέφερε πόσες από αυτές τις προσπάθειες πέτυχαν.
Η WPScan δήλωσε ότι το CVE-2024-27596 επιτρέπει σε μη εξουσιοδοτημένους επισκέπτες ιστότοπων να δημιουργήσουν λογαριασμούς χρηστών επιπέδου διαχειριστή, να ανεβάσουν κακόβουλα αρχεία και να αναλάβουν τον πλήρη έλεγχο των επηρεαζόμενων ιστότοπων. Η ευπάθεια, η οποία βρίσκεται στον τρόπο με τον οποίο το πρόσθετο χειρίζεται τον έλεγχο ταυτότητας των χρηστών, επιτρέπει στους επιτιθέμενους να παρακάμψουν την κανονική διαδικασία ελέγχου ταυτότητας και να εισάγουν κώδικα SQL που τους παρέχει αυξημένα προνόμια συστήματος. Από εκεί, μπορούν να ανεβάσουν και να εκτελέσουν κακόβουλα ωφέλιμα φορτία που μετονομάζουν ευαίσθητα αρχεία για να εμποδίσουν τον ιδιοκτήτη του ιστότοπου ή άλλους χάκερ να ελέγξουν τον ιστότοπο που έχει υποκλαπεί.