Pesquisadores de segurança cibernética alertaram que várias vulnerabilidades de segurança de alta gravidade em plug-ins do WordPress estão sendo ativamente exploradas por agentes de ameaças para criar contas de administrador desonestas para exploração subsequente.
“Essas vulnerabilidades são encontradas em vários plug-ins do WordPress e são propensas a ataques de cross-site scripting (XSS) armazenados não autenticados devido à limpeza inadequada de entrada e escape de saída, possibilitando que invasores injetem scripts maliciosos”, pesquisadores do Fastly Simran Khalsa, Xavier Stevens , e Matthew Mathur disse.
As falhas de segurança em questão estão listadas abaixo –
- CVE-2023-6961 (Pontuação CVSS: 7,2) – Scripting entre websites armazenados não autenticados em WP Meta website positioning <= 4.5.12
- CVE-2023-40000 (Pontuação CVSS: 8,3) – Scripting entre websites armazenados não autenticados no cache LiteSpeed <= 5,7
- CVE-2024-2194 (Pontuação CVSS: 7,2) – Scripting entre websites armazenados não autenticados em estatísticas WP <= 14,5
As cadeias de ataque que exploram as falhas envolvem a injeção de uma carga útil que aponta para um arquivo JavaScript ofuscado hospedado em um domínio externo, responsável por criar uma nova conta de administrador, inserir um backdoor e configurar scripts de rastreamento.
Os backdoors PHP são injetados em arquivos de plug-in e de tema, enquanto o script de rastreamento é projetado para enviar uma solicitação HTTP GET contendo as informações do host HTTP para um servidor remoto (“ur.mystiqueapi(.)com/?ur”).
Fastly disse que detectou uma proporção significativa das tentativas de exploração originadas de endereços IP associados ao Autonomous System (AS) IP Quantity Inc. (AS202425), com uma parte delas vindo da Holanda.
É importante notar que a empresa de segurança WordPress WPScan divulgou anteriormente esforços de ataque semelhantes direcionados ao CVE-2023-40000 para criar contas de administrador desonestas em websites suscetíveis.
Para mitigar os riscos representados por tais ataques, é recomendado que os proprietários de websites WordPress revisem os plug-ins instalados, apliquem as atualizações mais recentes e auditem os websites em busca de sinais de malware ou da presença de usuários administradores suspeitos.
