Хакеры пытаются использовать уязвимость плагина WordPress, которая настолько серьезна, насколько это возможно

По словам исследователей, хакеры атакуют веб-сайты с помощью известного плагина WordPress, предприняв миллионы попыток использовать уязвимость высокой степени серьезности, которая позволяет полностью захватить контроль.

Уязвимость заключается в WordPress автоматический, плагин с более чем 38 000 платящих клиентов. Веб-сайты, на которых установлена ​​система управления контентом WordPress, используют ее для включения контента с других сайтов. Исследователи из охранной компании Patchstack раскрыто в прошлом месяце что WP Automatic версии 3.92.0 и ниже имеет уязвимость с уровнем серьезности 9,9 из 10 возможных. Разработчик плагина ValvePress молча опубликовал патч, который доступен в версиях 3.92.1 и выше.

Исследователи классифицировали уязвимость, получившую обозначение CVE-2024-27956, как SQL-инъекцию — класс уязвимостей, возникающих из-за того, что веб-приложение не смогло правильно запросить серверные базы данных. Синтаксис SQL использует апострофы для обозначения начала и конца строки данных. Вводя строки со специально расположенными апострофами в уязвимые поля веб-сайта, злоумышленники могут выполнить код, который выполняет различные конфиденциальные действия, включая возврат конфиденциальных данных, предоставление административных привилегий системы или нарушение работы веб-приложения.

«Эта уязвимость очень опасна, и ожидается, что она станет массовой», — написали исследователи Patchstack 13 марта.

Сотрудник компании по веб-безопасности WPScan сказал в четверг что с момента раскрытия Patchstack 13 марта было зарегистрировано более 5,5 миллионов попыток использовать эту уязвимость. Попытки, по словам WPScan, начались медленно и достигли пика 31 марта. Фирма не сообщила, сколько из этих попыток оказались успешными.

В WPScan заявили, что CVE-2024-27596 позволяет неаутентифицированным посетителям веб-сайтов создавать учетные записи пользователей на уровне администратора, загружать вредоносные файлы и получать полный контроль над затронутыми сайтами. Уязвимость, заключающаяся в том, как плагин обрабатывает аутентификацию пользователей, позволяет злоумышленникам обойти обычный процесс аутентификации и внедрить код SQL, который предоставляет им повышенные системные привилегии. Оттуда они могут загружать и выполнять вредоносные полезные данные, которые переименовывают конфиденциальные файлы, чтобы не дать владельцу сайта или другим хакерам контролировать захваченный сайт.

Успешные атаки обычно следуют следующему процессу:

• SQL-инъекция (SQLi): Злоумышленники используют уязвимость SQLi в плагине WP‑Automatic для выполнения несанкционированных запросов к базе данных.
• Создание пользователя администратора: Благодаря возможности выполнять произвольные SQL-запросы злоумышленники могут создавать новые учетные записи пользователей уровня администратора в WordPress.
• Загрузка вредоносного ПО: После создания учетной записи уровня администратора злоумышленники могут загружать вредоносные файлы, обычно веб-оболочки или бэкдоры, на сервер скомпрометированного веб-сайта.
• Переименование файла: Злоумышленник может переименовать уязвимый файл WP‑Automatic, чтобы гарантировать, что только он сможет его использовать.

Исследователи WPScan объяснили:

После взлома сайта WordPress злоумышленники обеспечивают долговечность своего доступа, создавая бэкдоры и запутывая код. Чтобы избежать обнаружения и сохранить доступ, злоумышленники могут также переименовать уязвимый файл WP‑Automatic, что затрудняет владельцам веб-сайтов или инструментам безопасности выявление или блокирование проблемы. Стоит отметить, что злоумышленники также могут использовать этот способ, чтобы избежать атаки других злоумышленников и успешно использовать свои уже скомпрометированные сайты. Кроме того, поскольку злоумышленник может использовать полученные им высокие привилегии для установки плагинов и тем на сайт, мы заметили, что на большинстве взломанных сайтов злоумышленники устанавливали плагины, которые позволяли им загружать файлы или редактировать код.

Атаки начались вскоре после 13 марта, через 15 дней после того, как ValvePress выпустила версию 3.92.1 без упоминания критического патча в примечаниях к выпуску. Представители ValvePress не сразу ответили на сообщение с просьбой объяснить ситуацию.

В то время как исследователи из Patchstack и WPScan классифицируют CVE-2024-27956 как SQL-инъекцию, опытный разработчик сказал, что, по его мнению, уязвимость заключается в том, что это либо неправильная авторизация (CWE-285) или подкатегорию неправильного контроля доступа (CWE-284).

«По данным Patchstack.comпрограмма предполагаемый получать и выполнять SQL-запрос, но только от авторизованного пользователя», — написал в онлайн-интервью разработчик, не пожелавший называть свое имя. «Уязвимость заключается в том, как он проверяет учетные данные пользователя перед выполнением запроса, что позволяет злоумышленнику обойти авторизацию. SQL-инъекция — это когда злоумышленник встраивает SQL-код в то, что должно было быть только данными, но в данном случае это не тот случай».

Какой бы ни была классификация, уязвимость настолько серьезна, насколько это возможно. Пользователи должны немедленно исправить плагин. Им также следует тщательно проанализировать свои серверы на наличие признаков эксплуатации, используя индикаторы данных о компрометации, представленные в сообщении WPScan, указанном выше.