Odkryto nieuwierzytelnione ataki XSS wtyczek WordPress, w tym WP Meta SEO i popularnych WP Statistics i LiteSpeed!
Według dostawcy usług zabezpieczeń w chmurze, Fastly, dla WordPressa, globalnie używanego systemu zarządzania treścią (CMS), stanowią zagrożenie ataki wykorzystujące nieuwierzytelnione przechowywane podatności Cross-Site Scripting (XSS). Firma odkryła próby aktywnego wykorzystania trzech podatności wysokiego stopnia w popularnych wtyczkach WordPress.
Zgodnie z wpisem na blogu Fastly, atakujący wstrzykują złośliwe skrypty i tylne drzwi do witryn w celu tworzenia nowych kont administratora, wstrzykiwania tylnych drzwi PHP w plikach wtyczek i motywów, oraz konfigurowania skryptów śledzących, aby monitorować zainfekowane cele. Złośliwe ładunki były odnoszone do pięciu domen, a także dwóch dodatkowych domen opartych na śledzeniu, które wcześniej były związane z wykorzystaniem wtyczek WordPress.
Wrażliwe wtyczki obejmują WP Meta SEO, popularne WP Statistics i wtyczki LiteSpeed Cache, mające odpowiednio ponad 600 000 i 5 milionów aktywnych instalacji, które okazały się podatne na ataki, z złośliwymi ładunkami wstrzykiwanymi za pomocą parametrów wyszukiwania URL oraz skryptów udających powiadomienia dla administratora, co może prowadzić do szeroko zakrojonego naruszenia.
Na marginesie, nieuwierzytelnione przechowywane ataki XSS to złośliwy skrypt, który po wstrzyknięciu na stronę WordPress umożliwia nieautoryzowany dostęp do wrażliwych informacji, takich jak pliki cookie i tokeny sesji.
Szczegóły podatności
CVE-2023-6961, odkryte przez badacza CERT PL, Krzysztofa Zająca, w kwietniu 2024 roku, ujawnia podatność w wtyczce WP Meta SEO, którą atakujący mogą wykorzystać, wysyłając ładunek na docelową stronę, generując odpowiedź 404, a następnie wstawiając niesanitarny nagłówek do bazy danych.
CVE-2024-2194, odkryte przez Tima Coena w marcu 2024 roku, umożliwia nieuwierzytelnionym atakującym wstrzykiwanie skryptów internetowych do wtyczki WP Statistics w wersjach 14.5 i wcześniejszych, gdy użytkownik odwiedza wstrzykniętą stronę. Wersje niższe niż 14.5 są nadal aktywne na 48% wszystkich stron internetowych korzystających z tej wtyczki.
CVE-2023-40000, odkryte przez Patchstack w lutym 2024 roku, ujawnia podatność na przechowywane ataki XSS w wtyczce LiteSpeed Cache, powodując podatność na XSS, gdy administrator zalogowany odwiedza stronę backendową, udającą powiadomienie dla administratora.
Wtyczki WordPress polegają na treści generowanej przez użytkowników, która może być podatna na złośliwe skrypty, jeśli nie jest odpowiednio zweryfikowana i zdezynfekowana. Każde wykorzystanie może prowadzić do poważnych konsekwencji, takich jak porwanie sesji, kradzież danych, rozpowszechnianie złośliwego oprogramowania i zdeformowanie strony internetowej.
Aby zabezpieczyć swoją witrynę WordPress przed nieuwierzytelnionymi przechowywanymi atakami XSS, regularnie aktualizuj rdzeń, wtyczki i motywy, przykładaj dużą wagę do walidacji i dezynfekcji danych wejściowych, regularnie skanuj witrynę pod kątem podatności, wdroż Web Application Firewall (WAF), oraz korzystaj z mocnych haseł i wieloczynnikowej autoryzacji (MFA).
Komentarze ekspertów
Adam Neel, inżynier detekcji zagrożeń w Critical Start, skomentował tę kwestię i powiedział portalowi Hackread.com: „Te podatności WordPressa pozwalają atakującym ukraść uwierzytelnienia administratora poprzez cross-site scripting (XSS), a administratorzy WordPress mają możliwości, których nie chcielibyście w rękach atakującego, takie jak usuwanie innych użytkowników, usuwanie stron i możliwość przeglądania całej treści backendu.“
„Jest to wielka ilość informacji i mocy dla atakujących, więc administratorzy stron internetowych muszą zaktualizować podatne wtyczki. Upewnij się, że wszystkie wtyczki WordPress są zaktualizowane do najnowszych wersji, aby chronić swoją witrynę przed potencjalnymi zagrożeniami.”