Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Masowa kampania wykorzystująca dziurę w pluginie WordPressa z wyświetlaniem zgody na ciasteczka. Zamiast zgody – przekierowanie odwiedzających na złośliwe strony / przejmowanie adminów / …
Tym razem antybohaterem jest plugin Beautiful Cookie Consent Banner. Może i jest „Beautiful”, ale nie jest – czy raczej nie był – bezpieczny. Ktoś namierzył w nim podatność klasy persistent XSS (jeśli ktoś nie czuje się pewnie w temacie tej podatności – może nadrobić zaległości, czytając bezpłatny rozdział naszej książki).
W skrócie, atak wygląda w sposób następujący: można bez uwierzytelnienia podmienić link, który pojawia się na bannerku ze zgodą na ciasteczka. W linku można umieścić JavaScript:
Jeśli teraz ktoś odwiedzi zainfekowaną stronę, to w jego przeglądarce uruchomi się wstrzyknięty przez atakujących JavaScript. A JavaScript może realizować różne czynności – przekierowywać na dowolne strony, zmieniać zawartość strony dla odwiedzającego, czy przejmować nawet całą instancję WordPressa (jeśli na stronę wejdzie jego zalogowany admin). Dociekliwi zauważyli zapewne, że JavaScript z powyższego payloadu aktywuje się dopiero w momencie najechania myszką na konkretny fragment strony, ale stawiamy na to, że da się to sprawnie „zoptymalizować”.
W każdym razie podatność jest aktywnie exploitowana:
According to our records, the vulnerability has been actively attacked since February 5, 2023, but this is the largest attack against it that we have seen. We have blocked nearly 3 million attacks against more than 1.5 million sites, from nearly 14,000 IP addresses since May 23, 2023, and attacks are ongoing.
Warto zatem sprawdzić czy nie używacie przypadkiem podatnej wersji…
~ms