Trzy podatności WordPress na ataki XSS wykryte w wtyczkach
Badacze z firmy Fastly odkryli trzy podatności o wysokim stopniu zagrożenia, które są podatne na ataki XSS w wiodących wtyczkach WordPress, umożliwiające wstrzykiwanie złośliwego kodu przez atakujących. Błędy te mogą potencjalnie wpływać na niemalże 6 milionów instalacji WordPress, dlatego eksperci ds. bezpieczeństwa zalecają traktowanie ich poważnie.
W opublikowanym 29 maja wpisie na blogu, badacze z Fastly stwierdzili, że wykryte ataki polegają na wstrzykiwaniu znacznika skryptowego, który wskazuje na zaszyfrowany plik JavaScript hostowany na zewnętrznej domenie. Wskazano również, że skrypt wykorzystywany do ataków był identyczny dla wszystkich trzech podatności, a skoncentrowany na następujących niepożądanych działaniach: tworzeniu nowego konta administratora, wstrzykiwaniu tylnych wejść oraz konfigurowaniu skryptów śledzących, prawdopodobnie w celu monitorowania zainfekowanych witryn.
Pierwsza podatność – CVE-2024-2194 – dotyczy wtyczki WPStatistics, która ma ponad 600 000 instalacji. Druga podatność – CVE-2023-6961 – dotknęła wtyczkę WP Meta SEO, która ma ponad 20 000 instalacji. A wreszcie, CVE-2023-40000 – dotknęła wtyczkę LiteSpeed Cache, która ma ponad 5 milionów instalacji.
Adam Neel, inżynier wykrywania zagrożeń w firmie Critical Start, powiedział, że te podatności WordPress pozwalają atakującym kraść poświadczenia administratora poprzez XSS. Dodał, że administratorzy WordPress mają możliwości, których zespoły ds. bezpieczeństwa nie chcieliby przekazywać w ręce atakujących, takie jak usuwanie innych użytkowników, usuwanie stron i dostęp do całej zawartości platformy „Zaleca się, aby administratorzy witryn niezwłocznie zaktualizowali podatne wtyczki do najnowszej wersji” – powiedział Neel. „Upewnij się, że wszystkie wtyczki WordPress są zaktualizowane do najnowszych wersji.”
Lionel Litty, główny architekt ds. bezpieczeństwa w firmie Menlo Security, dodał, że istnieją mechanizmy łagodzące skutki podatności XSS typu stored, w tym nagłówek Content Security Policy. Niestety, Litty zaznaczył, że zbyt mało serwerów internetowych jest z nim skonfigurowanych, a nawet te, które mają, często mają zbyt liberalne ustawienia, by były skuteczne. „To dobra przypomnienie, aby sprawdzić, czy używane przez nas wrażliwe aplikacje internetowe posiadają odpowiednie wzmocnienie” – powiedział Litty. „Jeśli tego nie ma, zapytaj swojego dostawcę o to”.
Adam Neel z Critical Start zaleca następujące kroki naprawcze, które powinni rozważyć eksperci ds. bezpieczeństwa:
– Przejrzyj konta użytkowników o uprawnieniach administratora. Usuń wszelkie podejrzane konta, zwłaszcza konto „admim” często tworzone przez atakujących.
– Przeskanuj pliki w poszukiwaniu nieoczekiwanych modyfikacji, zwłaszcza wstrzykniętych skryptów, takich jak: lub .
– Zwracaj uwagę na niezwykłe żądania wychodzące skierowane na linki śledzenia Yandex lub na adres URL „hxxp://ur.mystiqueapi[.]com/?ur”. Może to wskazywać na aktywne tylnie wejście atakującego.