Ďalšie kritické zraniteľnosti v doplnkoch WordPress

Doplnky obľúbenej platformy na tvorbu webových stránok obsahujú kritické zraniteľnosti, ktoré umožňujú Obchádzanie autentifikácie, vzdialené vykonávanie kódu, extrakcii citlivých údajov a získanie administrátorských oprávnení. Bolo zaznamenaných viac ako 5,5 milióna pokusov o aktívne zneužitie zraniteľností.

Zraniteľné systémy:

  • WP Automatic verzie staršie ako 3.9.2.0
  • Poll Maker & Voting Plugin Team WP Poll Maker verzie staršie ako 3.4.

Opis činnosti:

CVE-2024-27956 (CVSS skóre 9,9)

Kritická zraniteľnosť CVE-2024-27956 sa nachádza v doplnku WP-Automatic pre WordPress. Chyba sa týka nevhodného spracovania autentifikácie užívateľa v jednom zo súborov doplnku WP-Automatic, ktorú je možné obísť zaslaním špeciálne vytvoreného príkazu pre SQL databázu. Úspešné zneužitie chyby SQL injekcie (SQLi) umožňuje získať neoprávnený prístup, vytvoriť používateľské účty na úrovni administrátora, nahrať škodlivý súbor a tým získať kontrolu nad zraniteľnými stránkami.

Útočníci sa po zneužití snažia vytvoriť perzistenciu svojho prístupu a schovať stopy po napadnutí (webshell, backdoor). Činnosť útočníkov často obsahuje premenovanie zraniteľného súboru WP-Automatic, či inštaláciu dodatočných doplnkov pre možné vykonávanie vzdialených zmien. 

Bolo zistených viac ako 5,5 milióna pokusov o aktívne zneužitie zraniteľností CVE-2024-27956, CVE-2024-2876 (Icegram Express), CVE-2024-2417 (User Registration) a CVE-2024-28890 (Forminator).

CVE-2024-32514 (CVSS skóre 9,9)

Zraniteľnosť CVE-2024-32514 v doplnku Poll Maker umožňuje autentifikovanému útočníkovi ľubovoľné nahrávanie súborov bez ich validácie. Potenciálny útočník môže nahrať škodlivý typ súboru bez akejkoľvek kontroly, z ktorého môže následne systém automaticky vykonať škodlivý kód. Pre úspešné zneužitie je potrebný prístup na úrovni používateľa, čo umožňuje vzdialené vykonávanie kódu.

IoC:

  • Používateľ administrátor s menom začínajúcim na xtw
  • Zraniteľný súbor “/wp content/plugins/wp automatic/inc/csv.php” premenovaný na (príklad) “/wp content/plugins/wp automatic/inc/csv65f82ab408b3.php”
  • Existencia súborov s odtlačkom SHA1:
    • b0ca85463fe805ffdf809206771719dc571eb052  web.php
    • 8e83c42ffd3c5a88b2b2853ff931164ebce1c0f3  index.php

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu
  • Únik citlivých informácií
  • Obchádzanie autentifikácie
  • Zvyšovanie oprávnení

Odporúčania:

Odporúčame bezodkladnú aktualizáciu doplnku WP-Automatic na najnovšiu verziu, pravidelnú kontrolu používateľských účtov systému WordPress

Pre zmiernenie zraniteľnosti CVE-2024-23514 viac informácii tu.

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-27956

https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html

https://wpscan.com/blog/new-malware-campaign-targets-wp-automatic-plugin/

https://nvd.nist.gov/vuln/detail/CVE-2024-32514

https://www.recordedfuture.com/vulnerability-database/CVE-2024-32514

https://avd.aquasec.com/nvd/2024/cve-2024-32514/