Hackers explorando bug do plug-in WP-Automated para criar contas de administrador em websites WordPress
Os agentes de ameaças estão tentando explorar ativamente uma falha crítica de segurança no plug-in WP‑Automated para WordPress que pode permitir o controle de websites.
A deficiência, rastreada como CVE-2024-27956carrega uma pontuação CVSS de 9,9 em um máximo de 10. Afeta todas as versões do plug-in anteriores a 3.9.2.0.
“Essa vulnerabilidade, uma falha de injeção de SQL (SQLi), representa uma ameaça grave, pois os invasores podem explorá-la para obter acesso não autorizado a websites, criar contas de usuário de nível administrativo, fazer add de arquivos maliciosos e, potencialmente, assumir o controle complete dos websites afetados”, disse WPScan. disse em um alerta esta semana.
De acordo com a empresa de propriedade da Automattic, o problema está enraizado no mecanismo de autenticação do usuário do plugin, que pode ser contornado trivialmente para executar consultas SQL arbitrárias no banco de dados por meio de solicitações especialmente criadas.
Nos ataques observados até agora, o CVE-2024-27956 está sendo usado para consultas não autorizadas ao banco de dados e para criar novas contas de administrador em websites WordPress suscetíveis (por exemplo, nomes que começam com “xtw”), que poderiam então ser aproveitados para postagens subsequentes. ações de exploração.
Isso inclui a instalação de plug-ins que possibilitam o add de arquivos ou a edição de código, indicando tentativas de redirecionar os websites infectados como stagers.
“Uma vez que um website WordPress é comprometido, os invasores garantem a longevidade de seu acesso criando backdoors e ofuscando o código”, disse WPScan. “Para evitar a detecção e manter o acesso, os invasores também podem renomear o arquivo WP-Automated vulnerável, dificultando a identificação ou o bloqueio do problema pelos proprietários de websites ou ferramentas de segurança.”
O arquivo em questão é “/wp‑content material/plugins/wp‑computerized/inc/csv.php”, que foi renomeado para algo como “wp‑content material/plugins/wp‑computerized/inc/csv65f82ab408b3.php”.
Dito isto, é possível que os agentes da ameaça estejam fazendo isso na tentativa de impedir que outros invasores explorem os websites que já estão sob seu controle.
CVE-2024-27956 foi divulgado publicamente pela empresa de segurança WordPress Patchstack em 13 de março de 2024. Desde então, mais de 5,5 milhões de tentativas de ataque para transformar a falha em arma foram detectadas.
A divulgação ocorre no momento em que bugs graves foram divulgados em plug-ins como E-mail Subscribers by Icegram Categorical (CVE-2024-2876, pontuação CVSS: 9,8), Forminator (CVE-2024-28890, pontuação CVSS: 9,8) e Registro de usuário (CVE- 2024-2417, pontuação CVSS: 8,8) que pode ser usado para extrair dados confidenciais, como hashes de senha, do banco de dados, fazer add de arquivos arbitrários e conceder privilégios de administrador a um usuário autenticador.
Patchstack também alertou sobre um problema não corrigido no plugin Ballot Maker (CVE-2024-32514, pontuação CVSS: 9,9) que permite que invasores autenticados, com acesso de nível de assinante e superior, carreguem arquivos arbitrários no servidor do website afetado, levando para execução remota de código.
