Interesujące wykorzystanie podatności we wtyczce WordPressa

Przestępcy w dość nietypowy i interesujący sposób zaczęli wykorzystywać podatność w niezbyt popularnej (ponad 10 tys. pobrań) wtyczce WordPressa o nazwie Hunk Companion. Podatność, oznaczona CVE-2024-11972 (wynik CVSS 9,8) pozwala nieautoryzowanemu atakującemu na… instalację i aktywację innych wtyczek z repozytorium WordPress.org.

TLDR:

• podatność CVE-2024-11972 we wtyczce Hunk Companion
• pozwala na instalację innych wtyczek
• aktywnie wykorzystywana w atakach

Na pierwszy rzut oka nie wygląda to może przerażająco, jednak pobierać, instalować i uruchamiać można dowolne wtyczki, także usunięte z repozytorium, co oznacza możliwość pobrania przestarzałych wtyczek, zawierających podatności.

Obserwowane są ataki z wykorzystaniem tej podatności, polegające na instalacji wtyczki WP Query Console, wykorzystywanej następnie – za pomocą nadal niezałatanej podatności CVE-2024-50498 – do wykonania kodu PHP kontrolowanego przez atakujących.

Jak widać, koncepcyjnie atak nieco przypomina opisywany przez nas parę miesięcy temu Windows Downdate. W obydwu przypadkach atakujący sięgają do istniejących podatności.

Podatność została załatana w wersji 1.9.0 wtyczki Hunk Companion. Niezależnie od tego, czy z niej korzystacie jest to dobry powód, by sprawdzić, czy nie posiadacie nadmiarowych aktywnych wtyczek w swoich instalacjach WordPressa. Warto rozważyć włączenie automatycznych aktualizacji wtyczek.

~Paweł Różański