Podatność wtyczki WordPress prowadzi do ataku na łańcuch dostaw
Nowy atak na łańcuch dostaw wpłynął na kilka wtyczek hostowanych na WordPress.org. Według drużyny Wordfence Threat Intelligence, ta podatność WordPress została odkryta 24 czerwca 2024 roku i początkowo skupiała się na wtyczce Social Warfare. Wtyczka ta została skompromitowana, a złośliwy kod został wstawiony już 22 czerwca 2024 roku. Pomimo działań podejmowanych w celu poinformowania zespołu wtyczek WordPress o tych zagrożonych wtyczkach, odpowiedź była ograniczona.
Badacze Wordfence wspominają o pięciu popularnych wtyczkach, które stały się ofiarami ataku na łańcuch dostaw. Wtyczki takie jak Social Warfare wersje 4.4.6.4 do 4.4.7.1, Blaze Widget wersje 2.2.5 do 2.5.2 oraz Wrapper Link Element wersje 1.0.2 do 1.0.3 zostały skompromitowane. Choć wtyczka Wrapper Link Element wersja 1.0.0 wydaje się nie zawierać złośliwego kodu, to niestety jest niższa od zainfekowanych, co komplikuje proces aktualizacji. Zaleca się usunięcie tej wtyczki do momentu wydania odpowiednio oznaczonej wersji. Również atakowane zostały wtyczki Contact Form 7 Multi-Step Addon wersje 1.0.4 do 1.0.5 i Simply Show Hooks wersja 1.2.1, dla których nie ma obecnie dostępnych poprawionych wersji.
Główną funkcją zainfekowanego oprogramowania jest próba tworzenia nieautoryzowanych kont administratorów na zaatakowanych stronach internetowych. Następnie te konta są wykorzystywane do wycieku wrażliwych danych na serwery kontrolowane przez atakujących. Dodatkowo, atakujący osadzili złośliwe skrypty JavaScript w stopkach zainfekowanych witryn, co potencjalnie wpływa na SEO przez wprowadzenie niepożądanego treści.
Niezależnie od odkrycia złośliwego kodu, zauważono, że jest on stosunkowo prosty i nie został silnie zaszyfrowany, a jego komentarze ułatwiły namierzenie. Atakujący rozpoczęli działalność już 21 czerwca 2024 roku i byli aktywni, aktualizując wtyczki jeszcze kilka godzin przed wykryciem.
Drużyna Wordfence prowadzi obecnie szczegółową analizę w celu opracowania sygnatur malware, mających na celu wykrywanie zainfekowanych wersji tych wtyczek. Zaleca się administratorom stron internetowych skorzystanie ze skanera podatności Wordfence, aby sprawdzić, czy mają podatne wtyczki i podjąć natychmiastowe działanie – aktualizację do poprawionych wersji lub całkowite usunięcie zainfekowanych wtyczek.
Kluczowe wskaźniki kompromisu to adres IP 94.156.79.8, który był używany przez serwer atakujących, oraz nieuprawnione nazwy administratorów, takie jak „Options” i „PluginAuth”. Aby zmniejszyć ryzyko, zaleca się przeprowadzenie kompleksowej audytu bezpieczeństwa, w tym sprawdzenie nieuprawnionych kont i wykonanie szczegółowych skanów złośliwego oprogramowania.