Η ομάδα ειδικών ασφαλείας Wordfence προειδοποίησε ότι hackers στοχεύουν πολλά WordPress sites με exploits που στοχεύουν μια ευπάθεια zero-day στο WPGateway premium plugin.
Το WPGateway είναι ένα WordPress plugin που επιτρέπει στους διαχειριστές να απλοποιούν διάφορες εργασίες με τη χρήση ενός κεντρικού πίνακα ελέγχου. Μέσω αυτού του πίνακα, οι διαχειριστές μπορούν να κάνουν setup, να δημιουργήσουν αντίγραφα ασφαλείας για τα sites και να διαχειριστούν θέματα και plugins.
Δείτε επίσης: Microsoft: Κυκλοφόρησε το Patch Tuesday Σεπτεμβρίου 2022
Η ευπάθεια (CVE-2022-3180) που βρέθηκε στο WPGateway plugin επιτρέπει την κλιμάκωση προνομίων και δίνει τη δυνατότητα στους εισβολείς να προσθέσουν έναν χρήστη με δικαιώματα διαχειριστή, χωρίς έλεγχο ταυτότητας, για να καταλάβουν πλήρως τα sites που εκτελούν την ευάλωτο WordPress plugin.
James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα
GDPR: Πώς TikTok, Shein & Temu παίζουν με το απόρρητο μας;
Σεληνιακή Απόκρυψη: Το φεγγάρι κρύβει τον Κρόνο
Η ευπάθεια εντοπίστηκε στις 8 Σεπτεμβρίου 2022, από τους ερευνητές της ομάδας Wordfence, που ασχολείται με την ασφάλεια του WordPress.
“Το Wordfence firewall έχει μπλοκάρει με επιτυχία περισσότερες από 4,6 εκατομμύρια επιθέσεις που στοχεύουν αυτήν την ευπάθεια σε περισσότερα από 280.000 sites τις τελευταίες 30 ημέρες“.
Ενώ η Wordfence αποκάλυψε την ενεργή εκμετάλλευση αυτού του σφάλματος, δεν δημοσίευσε πρόσθετες πληροφορίες σχετικά με τις επιθέσεις και δεν έδωσε πολλές λεπτομέρειες σχετικά με την ευπάθεια. Προφανώς, η απόκρυψη των πληροφοριών στοχεύει στην αποτροπή περαιτέρω εκμετάλλευσης. Έτσι περισσότεροι χρήστες του WordPress plugin WPGateway θα προστατεύσουν τις εγκαταστάσεις τους προτού άλλοι εισβολείς αναπτύξουν τα δικά τους exploit.
Δείτε επίσης: Hackers κλέβουν Steam credentials μέσω Browser-in-the-Browser phishing επιθέσεων
Πώς να βρείτε αν το site σας έχει παραβιαστεί;
Ένας τρόπος για να ελέγξετε αν το site σας έχει παραβιαστεί, είναι να ελέγξετε για κάποιο νέο χρήστη με δικαιώματα διαχειριστή με το όνομα χρήστη rangex.
Επιπλέον, requests για //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 στα αρχεία καταγραφής θα δείχνουν αν ο ιστότοπός σας έγινε στόχος, χωρίς να σημαίνει απαραίτητα ότι παραβιάστηκε.
“Εάν έχετε εγκαταστήσει το WPGateway plugin, σας προτρέπουμε να το αφαιρέσετε αμέσως έως ότου διατεθεί μια ενημέρωση κώδικα και να ελέγξετε για κακόβουλους χρήστες διαχειριστή στον πίνακα ελέγχου του WordPress“, προειδοποίησε ερευνητής της ομάδας Wordfence.
Δείτε επίσης: VMware: Retbleed fix προκαλεί πτώση απόδοσης Linux ESXi VM
“Εάν γνωρίζετε έναν φίλο ή συνάδελφο που χρησιμοποιεί αυτό το plugin στον ιστότοπό του, συνιστούμε ανεπιφύλακτα να προωθήσετε αυτήν την συμβουλή σε αυτόν για να τον βοηθήσετε να διατηρήσει προστατευμένα τα sites τους, καθώς πρόκειται για μια σοβαρή ευπάθεια που χρησιμοποιείται ενεργά“.
Πηγή: www.bleepingcomputer.com