Getty billeder
Hackere angriber websteder ved hjælp af et fremtrædende WordPress-plugin med millioner af forsøg på at udnytte en alvorlig sårbarhed, der tillader fulde downloads, siger forskere.
Sårbarheden ligger i WordPress automatisk, et plugin med mere end 38.000 betalende kunder. Websteder, der kører WordPress indholdsstyringssystemet, bruger det til at inkludere indhold fra andre websteder. Forskere fra sikkerhedsfirmaet Patchstack offentliggjort i sidste måned at WP Automatic versioner 3.92.0 og derunder har en sårbarhed med en alvorlighedsgrad på 9.9 ud af 10 mulige. Pluginets udvikler, ValvePress, har stille og roligt udgivet en patch, der er tilgængelig i version 3.92.1 og nyere.
Forskere har klassificeret fejlen, sporet som CVE-2024-27956, som SQL-injektion, en sårbarhedsklasse, der skyldes en webapplikations manglende korrekte forespørgsler i back-end-databaser. SQL-syntaks bruger apostrof til at markere begyndelsen og slutningen af en datastreng. Ved at indtaste strenge med specielt placerede apostroffer i sårbare webstedsfelter kan angribere udføre kode, der udfører en række følsomme handlinger, herunder returnering af fortrolige data, tildeling af administrative systemprivilegier eller undergravning af den måde, en webapplikation fungerer på.
“Denne sårbarhed er meget farlig og forventes at blive bredt udnyttet,” skrev Patchstack-forskere den 13. marts.
Et andet websikkerhedsfirma WPScan sagde torsdag at det har registreret mere end 5,5 millioner forsøg på at udnytte sårbarheden, siden Patchstack blev offentliggjort den 13. marts. Forsøgene, sagde WPScan, startede langsomt og toppede den 31. marts. Virksomheden sagde ikke, hvor mange af disse forsøg, der var succesfulde.
WPScan sagde, at CVE-2024-27596 tillader uautoriserede besøgende på webstedet at oprette brugerkonti på administratorniveau, uploade ondsindede filer og tage fuld kontrol over berørte sider. Sårbarheden, som er placeret i den måde, plugin’et håndterer brugergodkendelse på, gør det muligt for angribere at omgå den normale godkendelsesproces og injicere SQL-kode, der giver dem forhøjede systemrettigheder. Derfra kan de uploade og udføre ondsindet brugerindhold, der omdøber følsomme filer for at forhindre webstedsejeren eller andre hackere i at kontrollere det kaprede websted.
Succesfulde angreb følger typisk denne proces:
- SQL-injektion (SQLi): Angribere udnytter en SQLi-sårbarhed i WP-Automatic-plugin’et til at udføre uautoriserede databaseforespørgsler.
- Oprettelse af en administratorbruger: Med evnen til at udføre vilkårlige SQL-forespørgsler kan angribere oprette nye brugerkonti på admin-niveau i WordPress.
- Download af malware: Når en konto på administratorniveau er oprettet, kan angribere uploade ondsindede filer, normalt web-shells eller bagdøre, til det kompromitterede websteds server.
- Omdøbning af filen: En angriber kan omdøbe den sårbare WP-Automatic-fil for at sikre, at kun han kan udnytte den.
WPScan-forskere forklarede:
Når først et WordPress-websted er kompromitteret, sikrer angribere deres adgangs levetid ved at skabe bagdøre og maskere kode. For at undgå registrering og opretholde adgang kan angribere også omdøbe den sårbare WP-Automatic-fil, hvilket gør det vanskeligt for webstedsejere eller sikkerhedsværktøjer at identificere eller blokere problemet. Det er værd at nævne, at dette også kan være en måde for angribere at undgå, at andre dårlige aktører med succes udnytter deres allerede kompromitterede websteder. Fordi en angriber kan bruge deres erhvervede forhøjede privilegier til at installere plugins og temaer på et websted, har vi også bemærket, at dårlige aktører på de fleste kompromitterede websteder installerede plugins, der gjorde det muligt for dem at uploade filer eller redigere kode.
Angrebene begyndte kort efter den 13. marts, 15 dage efter ValvePress udgav version 3.92.1 uden at nævne den kritiske patch i udgivelsesbemærkningerne. ValvePress-repræsentanter returnerede ikke straks en besked, hvor de søgte en forklaring.
Mens forskere hos Patchstack og WPScan klassificerer CVE-2024-27956 som en SQL-injektion, sagde en erfaren udvikler, at hans fortolkning af sårbarheden er, at enten ukorrekt godkendelse (CWE-285) eller underkategorien af ukorrekt adgangskontrol (CWE-284).
“Ifølge Patchstack.comprogrammet er skulle have at modtage og udføre SQL-forespørgsler, men kun fra en autoriseret bruger,” skrev udvikleren, der ikke ønskede at bruge sit navn, i et onlineinterview. “Sårbarheden er, hvordan den kontrollerer brugerlegitimationsoplysninger, før den udfører en forespørgsel, hvilket tillader en angriber at omgå autorisation. SQL-injektion er, når en angriber indlejrer SQL-kode i, hvad der kun skulle være data, hvilket ikke er tilfældet her.”
Uanset klassificeringen er sårbarheden så alvorlig, som den bliver. Brugere bør lappe pluginnet med det samme. De bør også omhyggeligt scanne deres servere for tegn på udnyttelse ved hjælp af sårbarhedsdataindikatorerne, der er angivet i WPScan-indlægget, der er linket til ovenfor.
