Εγκληματίες του κυβερνοχώρου εκμεταλλεύονται μια ευπάθεια που επιτρέπει την εκτέλεση κώδικα απομακρυσμένα. Η ευπάθεια είναι γνωστή ως CVE-2021-25094 και εντοπίζεται στο Tatsu Builder plugin για WordPress, το οποίο είναι εγκατεστημένο σε χιλιάδες websites.
Εκτιμάται ότι ένας μεγάλος αριθμός εκτελεί μια ευάλωτη έκδοση του plugin, αν και υπάρχει μια ενημέρωση κώδικα ήδη από τις αρχές Απριλίου.
Δείτε επίσης: Hackers μπορούν να κλέψουν εύκολα οχήματα Tesla Model 3 και Model Y
Το ζήτημα υπάρχει σε ευάλωτες εκδόσεις τόσο της δωρεάν όσο και της premium έκδοσης του Tatsu Builder plugin.
Ερευνητές έχουν παρατηρήσει, το τελευταίο διάστημα, πολλές επιθέσεις που εκμεταλλεύονται την RCE ευπάθεια στο Tatsu Builder plugin. Οι μαζικές επιθέσεις ξεκίνησαν στις 10 Μαΐου 2022 και κορυφώθηκαν τέσσερις ημέρες αργότερα. Ωστόσο, βρίσκονται ακόμα σε εξέλιξη.
Το Tatsu Builder είναι ένα δημοφιλές WordPress plugin που προσφέρει ισχυρά template editing features, ενσωματωμένα απευθείας στο web browser.
Η ευπάθεια που εκμεταλλεύονται οι hackers, επιτρέπει σε έναν απομακρυσμένο εισβολέα να εκτελεί κώδικα στους servers που τρέχουν παλιά έκδοση του plugin (όλες οι εκδόσεις πριν από την 3.3.12).
Το επικίνδυνο σφάλμα ανακαλύφθηκε από τον ερευνητή Vincent Michel, ο οποίος το αποκάλυψε δημόσια στις 24 Μαρτίου 2022, μαζί με proof of concept (PoC) exploit code.
Ο προμηθευτής κυκλοφόρησε ένα patch με την έκδοση 3.3.13 του Tatsu Builder plugin και ειδοποίησε τους χρήστες μέσω email στις 7 Απριλίου 2022, προτρέποντάς τους να εφαρμόσουν την ενημέρωση για να προστατευτούν από επιθέσεις που εκμεταλλεύονται την εν λόγω ευπάθεια.
Δείτε επίσης: Phishing 2022: Χιλιάδες κακόβουλα emails περιλαμβάνουν HTML αρχεία
Η Wordfence, μια εταιρεία που προσφέρει λύσεις ασφαλείας για WordPress plugins, παρακολουθεί τις τρέχουσες επιθέσεις. Οι ερευνητές εκτιμούν ότι υπάρχουν χιλιάδες websites που εξακολουθούν να τρέχουν ευάλωτη έκδοση του Tatsu Builder, παρά την ύπαρξη ενημέρωσης.
Η Wordfence αναφέρει ότι είδε εκατομμύρια επιθέσεις εναντίον πελατών της και τουλάχιστον 5,9 εκατομμύρια απόπειρες έλαβαν χώρα στις 14 Μαΐου 2022. Ο αριθμός ήταν τεράστιος, αλλά τις επόμενες ημέρες οι επιθέσεις μειώθηκαν. Ωστόσο, σύμφωνα με τους ερευνητές, οι προσπάθειες εκμετάλλευσης συνεχίζονται σε υψηλά επίπεδα. Όλοι οι χρήστες της Wordfence με ενεργό το Wordfence Web Application Firewall, προστατεύονται από εισβολείς που προσπαθούν να εκμεταλλευτούν αυτήν την ευπάθεια.
Εκμεταλλευόμενοι την ευπάθεια στο Tatsu Builder plugin, οι επιτιθέμενοι προσπαθούν να εισάγουν ένα malware dropper σε έναν υπο-φάκελο του “wp-content/uploads/typehub/custom/” directory και να το κάνουν κρυφό αρχείο.
Δείτε επίσης: Έκτακτη ενημέρωση της Apple επιδιορθώνει zero-day σε Macs και Watches
Το dropper ονομάζεται “.sp3ctra_XO.php” and has an MD5 hash of 3708363c5b7bf582f8477b1c82c8cbf8.
Σύμφωνα με τους ερευνητές της Wordfence, περισσότερες από ένα εκατομμύριο επιθέσεις προήλθαν από τρεις μόνο διευθύνσεις IP: 148.251.183[.]254, 176.9.117[.]218 και 217.160.145[.]62. Οι διαχειριστές ιστοτόπων καλούνται να προσθέσουν αυτές τις IP στο blocklist τους. Συνιστάται ανεπιφύλακτα σε όλους τους χρήστες του Tatsu Builder plugin για WordPress sites να κάνουν αναβάθμιση στην έκδοση 3.3.13 για να παραμείνουν ασφαλείς.
Πηγή: www.bleepingcomputer.com