Sunt site-urile WordPress și ținta: o campanie de atac ce vizează pluginurile GutenKit și Hunk Companion, exploatând vulnerabilități vechi dar încă periculoase, care pot conduce la executare de cod la distanță. Aceste probleme au fost semnalate de firma de securitate Wordfence, care a blocat milioane de tentative într-un interval foarte scurt, iar cazul ne amintește că, deși există patch-uri, actualizările nu ajung întotdeauna la toate site-urile.
Atacul se bazează pe trei vulnerabilități catalogate ca fiind critice: CVE-2024-9234, CVE-2024-9707 și CVE-2024-11972, fiecare cu scor CVSS 9.8. Prima, CVE-2024-9234, este un bug fără autentificare în endpoint-ul REST al pluginului GutenKit (aproximativ 40.000 de instalări) care permite instalarea la distanță a pluginurilor fără autentificare. Celelalte două, CVE-2024-9707 și CVE-2024-11972, sunt probleme de autorizare în endpoint-ul themehunk-import al pluginului Hunk Companion (în jur de 8.000 de instalări) și pot avea aceeași consecință: instalarea de pluginuri arbitrare. Practic, un atacator autentificat, sau uneori chiar neautentificat, în funcție de exploit, poate folosi aceste breșe pentru a introduce un alt plugin vulnerabil care apoi deschide accesul pentru executare de cod la distanță.
Versiunile afectate sunt GutenKit 2.1.0 și precedentele, Hunk Companion 1.8.4 și anterioare pentru CVE-2024-9707, respectiv Hunk Companion 1.8.5 și precedente pentru CVE-2024-11972. Corecțiile au fost publicate: GutenKit 2.1.1 în octombrie 2024 și Hunk Companion 1.9.0 în decembrie 2024. Problema este că numeroase site-uri nu au fost actualizate, iar atacatorii profită de această inerție.
Datele colectate de Wordfence arată amploarea campaniei: în doar două zile, 8, 7 milioane de încercări de atac au fost blocate pentru clienții lor, pe 8 și 9 octombrie. Cercetătorii au constatat că actorii malițioși găzduiesc pe GitHub un plugin malițios comprimat într-un fișier .ZIP numit up. Arhiva conține scripturi ofuscate pentru încărcare, descărcare, ștergere de fișiere și modificare a permisiunilor. Unul dintre scripturi, protejat cu parolă și mascat ca o componentă a pluginului All in One SEO, permite logarea automată a atacatorului ca administrator. Cu astfel de unelte, atacatorii își asigură persistența pe site, pot fura sau plasa fișiere, executa comenzi sau intercepta date sensibile gestionate de site.
Când pachetul instalat nu oferă direct un backdoor complet de admin, atacatorii recurg frecvent la instalarea pluginului vulnerabil wp-query-console, folosit pentru a obține executare de cod fără autentificare. Totodată, Wordfence a publicat o listă de adrese IP care generează volume mari de cereri malițioase, informație utilă pentru configurarea regulilor de firewall sau pentru monitorizarea traficului suspect.
Pentru administratori, semnele de compromis de urmărit în jurnalele de acces sunt cererile către endpoint-urile /wp-json/gutenkit/v1/install-active-plugin și /wp-json/hc/v1/themehunk-import. De asemenea, se recomandă verificarea existenței unor directoare suspecte precum /up, /background-image-cropper, /ultra-seo-processor-wp, /oke și /wp-query-console, unde pot apărea fișiere sau pluginuri neautorizate. Măsura de bază și cea mai eficientă rămâne actualizarea pluginurilor la versiunile oficiale oferite de vendor.
Această campanie ne reamintește importanța disciplinei operaționale în administrarea site-urilor: GutenKit 2.1.1 și Hunk Companion 1.9.0 sunt remedii publicate în 2024, însă sutele sau miile de instalări rămase pe versiuni vechi transformă acele site-uri în puncte de intrare pentru atacuri extinse. Monitorizarea jurnalelor, blocarea IP-urilor malițioase și verificarea directoarelor indicate pot limita rapid impactul. Ce măsuri concrete ți-ai lua imediat dacă ai administra un site WordPress cu pluginurile menționate?
Fii primul care comentează