Các tác nhân đe dọa đang cố gắng chủ động khai thác một lỗ hổng bảo mật nghiêm trọng trong plugin WP-Automatic cho WordPress có thể cho phép tiếp quản trang web.
Thiếu sót, được theo dõi là CVE-2024-27956, có điểm CVSS là 9,9 trên tối đa là 10. Nó ảnh hưởng đến tất cả các phiên bản của plugin trước 3.9.2.0.
"Lỗ hổng này, một lỗ hổng SQL injection (SQLi), đặt ra một mối đe dọa nghiêm trọng vì những kẻ tấn công có thể khai thác nó để truy cập trái phép vào các trang web, tạo tài khoản người dùng cấp quản trị, tải lên các tệp độc hại và có khả năng kiểm soát hoàn toàn các trang web bị ảnh hưởng", WPScan cho biết trong một cảnh báo trong tuần này.
Theo công ty thuộc sở hữu của Automattic, vấn đề bắt nguồn từ cơ chế xác thực người dùng của plugin, có thể bị phá vỡ một cách tầm thường để thực hiện các truy vấn SQL tùy ý đối với cơ sở dữ liệu bằng các yêu cầu được chế tạo đặc biệt.
Trong các cuộc tấn công được quan sát cho đến nay, CVE-2024-27956 đang được sử dụng để truy vấn cơ sở dữ liệu trái phép và tạo tài khoản quản trị mới trên các trang web WordPress nhạy cảm (ví dụ: tên bắt đầu bằng "xtw"), sau đó có thể được tận dụng cho các hành động sau khai thác tiếp theo.
Điều này bao gồm cài đặt các plugin cho phép tải lên các tệp hoặc chỉnh sửa mã, cho thấy các nỗ lực sử dụng lại các trang web bị nhiễm làm stagers.
"Khi một trang web WordPress bị xâm phạm, những kẻ tấn công đảm bảo tuổi thọ truy cập của chúng bằng cách tạo ra các cửa hậu và làm xáo trộn mã", WPScan nói. "Để tránh bị phát hiện và duy trì quyền truy cập, kẻ tấn công cũng có thể đổi tên tệp WP-Automatic dễ bị tấn công, gây khó khăn cho chủ sở hữu trang web hoặc công cụ bảo mật để xác định hoặc chặn vấn đề."
Tệp được đề cập là "/wp-content/plugins/wp-automatic/inc/csv.php", được đổi tên thành "wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php".
Điều đó nói rằng, có thể các tác nhân đe dọa đang làm như vậy trong nỗ lực ngăn chặn những kẻ tấn công khác khai thác các trang web đã nằm dưới sự kiểm soát của họ.
CVE-2024-27956 đã được công ty bảo mật WordPress Patchstack tiết lộ công khai vào ngày 13 tháng 3 năm 2024. Kể từ đó, hơn 5,5 triệu nỗ lực tấn công để vũ khí hóa lỗ hổng đã được phát hiện trong tự nhiên.
Tiết lộ được đưa ra khi các lỗi nghiêm trọng đã được tiết lộ trong các plugin như Người đăng ký email bởi Icegram Express (CVE-2024-2876, điểm CVSS: 9.8), Forminator (CVE-2024-28890, điểm CVSS: 9.8) và Đăng ký người dùng (CVE-2024-2417, điểm CVSS: 8.8) có thể được sử dụng để trích xuất dữ liệu nhạy cảm như băm mật khẩu từ cơ sở dữ liệu, tải lên các tệp tùy ý và cấp đặc quyền quản trị người dùng xác thực.
Patchstack cũng đã cảnh báo về một vấn đề chưa được vá trong plugin Poll Maker (CVE-2024-32514, điểm CVSS: 9.9) cho phép những kẻ tấn công được xác thực, với quyền truy cập cấp thuê bao trở lên, tải lên các tệp tùy ý trên máy chủ của trang web bị ảnh hưởng, dẫn đến việc thực thi mã từ xa.