Gli hacker sfruttano il bug del plugin WP-Automatic per creare account amministratore sui siti WordPress
Gli autori delle minacce stanno tentando di sfruttare attivamente una falla di sicurezza critica nel plug-in automatico ValvePress per WordPress che potrebbe consentire l'acquisizione del sito.
Il difetto, tracciato come CVE-2024-27956ha un punteggio CVSS di 9,9 su un massimo di 10. Ha effetto su tutte le versioni del plugin precedenti alla 3.92.0. Il problema è stato risolto nel versione 3.92.1 rilasciato il 27 febbraio 2024, sebbene le note di rilascio non ne facciano menzione.
“Questa vulnerabilità, un difetto SQL injection (SQLi), rappresenta una grave minaccia poiché gli aggressori possono sfruttarla per ottenere accesso non autorizzato ai siti Web, creare account utente a livello di amministratore, caricare file dannosi e potenzialmente assumere il pieno controllo dei siti interessati”, WPScan disse in un avviso questa settimana.
Secondo la società di proprietà di Automattic, il problema è radicato nel meccanismo di autenticazione dell'utente del plugin, che può essere banalmente aggirato per eseguire query SQL arbitrarie sul database mediante richieste appositamente predisposte.
Negli attacchi osservati finora, CVE-2024-27956 viene utilizzato per query di database non autorizzate e per creare nuovi account amministratore su siti WordPress sensibili (ad esempio, nomi che iniziano con “xtw”), che potrebbero quindi essere sfruttati per successivi attacchi post-vendita. azioni di sfruttamento.
Ciò include l'installazione di plug-in che consentono di caricare file o modificare codice, indicando tentativi di riutilizzare i siti infetti come stager.
“Una volta che un sito WordPress viene compromesso, gli aggressori garantiscono la longevità del loro accesso creando backdoor e offuscando il codice”, ha affermato WPScan. “Per eludere il rilevamento e mantenere l'accesso, gli aggressori possono anche rinominare il file vulnerabile WP-Automatic, rendendo difficile per i proprietari di siti Web o gli strumenti di sicurezza identificare o bloccare il problema.”
Il file in questione è “/wp‑content/plugins/wp‑automatic/inc/csv.php”, che è stato rinominato in qualcosa come “/wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php.”
Detto questo, è possibile che gli autori delle minacce lo facciano nel tentativo di impedire ad altri aggressori di sfruttare i siti già sotto il loro controllo.
CVE-2024-27956 era divulgato pubblicamente dalla società di sicurezza WordPress Patchstack il 13 marzo 2024. Da allora, sono stati rilevati più di 5,5 milioni di tentativi di attacco per sfruttare la falla come arma.
La divulgazione arriva perché sono stati rilevati gravi bug in plugin come Email Subscribers di Icegram Express (CVE-2024-2876Punteggio CVSS: 9,8), Forminatore (CVE-2024-28890Punteggio CVSS: 9,8) e Registrazione utente (CVE-2024-2417Punteggio CVSS: 8.8) che potrebbe essere utilizzato per estrarre dati sensibili come gli hash delle password dal database, caricare file arbitrari e concedere privilegi di amministratore a un utente autenticatore.
Anche Patchstack ha avvertito di un problema senza patch nel plug-in Poll Maker (CVE-2024-32514, punteggio CVSS: 9,9) che consente agli aggressori autenticati, con accesso a livello di abbonato e superiore, di caricare file arbitrari sul server del sito interessato, portando all'esecuzione di codice remoto .
(La storia è stata aggiornata dopo la pubblicazione per correggere le versioni del plugin interessate da CVE-2024-27956.)