Hacker versuchen, die schwerwiegendste Schwachstelle des WordPress-Plugins auszunutzen

"Das WP Automatic-Plugin wurde gepatcht, aber in den Versionshinweisen wird der kritische Fix nicht erwähnt.

Hacker greifen Websites an, die ein bekanntes WordPress-Plugin verwenden, und versuchen millionenfach, eine hochgradige Sicherheitslücke auszunutzen, die eine vollständige Übernahme ermöglicht, so Forscher.

Die Schwachstelle liegt in WordPress Automatic, einem Plugin mit mehr als 38.000 zahlenden Kunden. Websites, auf denen das Content-Management-System WordPress läuft, nutzen es, um Inhalte von anderen Websites einzubinden. Forscher des Sicherheitsunternehmens Patchstack gaben letzten Monat bekannt, dass die WP Automatic-Versionen 3.92.0 und niedriger eine Schwachstelle mit einem Schweregrad von 9,9 von 10 möglichen Punkten aufwiesen. Der Plugin-Entwickler ValvePress veröffentlichte stillschweigend einen Patch, der in den Versionen 3.92 verfügbar ist. 1 und darüber hinaus.

Forscher haben den als CVE-2024-27956 verfolgten Fehler als SQL-Injection eingestuft, eine Schwachstellenklasse, die darauf zurückzuführen ist, dass eine Webanwendung Backend-Datenbanken nicht ordnungsgemäß abfragt. Die SQL-Syntax verwendet Apostrophe, um den Anfang und das Ende einer Datenzeichenfolge anzugeben. Durch die Eingabe von Zeichenfolgen mit speziell positionierten Apostrophen in anfällige Website-Felder können Angreifer Code ausführen, der verschiedene sensible Aktionen ausführt, darunter die Rückgabe vertraulicher Daten, die Gewährung von Administratorrechten für das System oder die Untergrabung der Funktionsweise der Web-App.

„Diese Sicherheitslücke ist äußerst gefährlich und wird voraussichtlich massenhaft ausgenutzt, schrieben Patchstack-Forscher am 13. März.

Das Web-Sicherheitsunternehmen WPScan teilte am Donnerstag mit, dass seit der Offenlegung durch Patchstack am 13. März mehr als 5,5 Millionen Versuche protokolliert wurden, die Sicherheitslücke auszunutzen. Laut WPScan begannen die Versuche langsam und erreichten am 31. März ihren Höhepunkt. Das Unternehmen gab nicht an, wie viele dieser Versuche erfolgreich waren.

Laut WPScan ermöglicht CVE-2024-27596 nicht authentifizierten Website-Besuchern, Benutzerkonten auf Administratorebene zu erstellen, schädliche Dateien hochzuladen und die volle Kontrolle über betroffene Websites zu übernehmen. Die Schwachstelle, die darin liegt, wie das Plugin die Benutzerauthentifizierung handhabt, ermöglicht es Angreifern, den normalen Authentifizierungsprozess zu umgehen und SQL-Code einzuschleusen, der ihnen erhöhte Systemrechte gewährt. Von dort aus können sie bösartige Payloads hochladen und ausführen, die sensible Dateien umbenennen, um zu verhindern, dass der Websitebesitzer oder andere Hacker die gekaperte Website kontrollieren.

Erfolgreiche Angriffe folgen typischerweise diesem Prozess:

SQL-Injection (SQLi): Angreifer nutzen die SQLi-Schwachstelle im WP-Automatic-Plugin aus, um nicht autorisierte Datenbankabfragen auszuführen.

Erstellung von Admin-Benutzern: Mit der Möglichkeit, beliebige SQL-Abfragen auszuführen, können Angreifer in WordPress neue Benutzerkonten auf Admin-Ebene erstellen.

Malware-Upload: Sobald ein Konto auf Administratorebene erstellt wurde, können Angreifer schädliche Dateien, typischerweise Web-Shells oder Hintertüren, auf den Server der gefährdeten Website hochladen.

Dateiumbenennung: Der Angreifer kann die anfällige WP-Automatic-Datei umbenennen, um sicherzustellen, dass nur er sie ausnutzen kann.

WPScan-Forscher erklärten:

Sobald eine WordPress-Site kompromittiert ist, stellen Angreifer die Langlebigkeit ihres Zugriffs sicher, indem sie Hintertüren erstellen und den Code verschleiern. Um der Erkennung zu entgehen und den Zugriff aufrechtzuerhalten, können Angreifer die anfällige WP-Automatic-Datei auch umbenennen, was es Websitebesitzern oder Sicherheitstools erschwert, das Problem zu identifizieren oder zu blockieren. Es ist erwähnenswert, dass Angreifer auf diese Weise möglicherweise auch andere böswillige Akteure davon abhalten, ihre bereits kompromittierten Websites erfolgreich auszunutzen. Da der Angreifer außerdem seine erworbenen hohen Berechtigungen nutzen kann, um Plugins und Themes auf der Website zu installieren, ist uns aufgefallen, dass die Angreifer auf den meisten kompromittierten Websites Plugins installiert haben, die es ihnen ermöglichten, Dateien hochzuladen oder Code zu bearbeiten.

Die Angriffe begannen kurz nach dem 13. März, 15 Tage nachdem ValvePress die Version 3.92.1 veröffentlicht hatte, ohne den kritischen Patch in den Versionshinweisen zu erwähnen. Vertreter von ValvePress reagierten nicht sofort auf eine Nachricht mit der Bitte um eine Erklärung.

Während Forscher von Patchstack und WPScan CVE-2024-27956 als SQL-Injection einstufen, sagte ein erfahrener Entwickler, dass er die Schwachstelle so interpretiert, dass es sich entweder um eine unsachgemäße Autorisierung (CWE-285) oder eine Unterkategorie einer unsachgemäßen Zugriffskontrolle (CWE-284) handelt.

„Laut Patchstack.com soll das Programm eine SQL-Abfrage empfangen und ausführen, allerdings nur von einem autorisierten Benutzer, schrieb der Entwickler, der seinen Namen nicht nennen wollte, in einem Online-Interview. „Die Schwachstelle liegt in der Art und Weise, wie die Anmeldeinformationen des Benutzers vor der Ausführung der Abfrage überprüft werden, sodass ein Angreifer die Autorisierung umgehen kann. Bei einer SQL-Injection bettet der Angreifer SQL-Code in etwas ein, das eigentlich nur Daten sein sollte, und das ist hier nicht der Fall.

Unabhängig von der Klassifizierung ist die Sicherheitslücke so schwerwiegend, wie es nur geht. Benutzer sollten das Plugin sofort patchen. Sie sollten ihre Server auch sorgfältig auf Anzeichen einer Ausnutzung analysieren, indem sie die im oben verlinkten WPScan-Beitrag bereitgestellten Indikatoren für Kompromittierungsdaten verwenden."

Bitte beachten Sie, dass die französische Version von Ai unterstützt wird und daher geringfügige Fehler auftreten können. Hacker versuchen, die schwerwiegendste Schwachstelle des WordPress-Plugins auszunutzen

AUTOR

Über ABN Asia: Ai Base Network (ABN), ABN Asia wurde im Jahr 2012 gegründet und ist ein Unternehmen mit akademischem Hintergrund, das von Lehrkräften und ehemaligen Studierenden aus Ungarn, den Niederlanden, Russland, Deutschland und Japan gegründet wurde. Wir teilen eine gemeinsame Leidenschaft und eine klare Vision für Technologie, die Innovation und erstklassige Qualität für unsere Kunden bringt. Unser Motto lautet: Besser. Schneller. Sicherer. In vielen Fällen: Günstiger.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie IT-Dienstleistungen, digitale Beratung, Standardsoftwarelösungen benötigen oder uns Angebotsanfragen (RFPs) senden möchten. Sie können uns unter [email protected] kontaktieren. Wir sind bereit, Ihnen bei all Ihren Technologiebedürfnissen zu helfen.