Злоумышленники атакуют критическую уязвимость в плагине Hunk Companion для WordPress, предупреждают специалисты. С помощью этой проблемы хакеры устанавливают на сайты другие уязвимые плагины, которые могут открыть им двери для дальнейших атак.
Уязвимость получила идентификатор CVE-2024-11972 (9,8 балла по шкале CVSS) и затрагивает все версии плагина вплоть до вышедшей вчера исправленной версии 1.9.0.
Плагин Hunk Companion предназначен для дополнения и улучшения функциональности тем, разработанных ThemeHunk и насчитывает более 10 000 активных установок. При этом к настоящему моменту лишь около 12% пользователей установили патч, то есть перед проблемой все еще уязвимо порядка 9000 сайтов.
«Уязвимость представляет собой значительный риск для безопасности, поскольку позволяет злоумышленникам устанавливать уязвимые и устаревшие плагины, которые затем могут использоваться для атак на удаленное выполнение кода (RCE), SQL-инъекций, межсайтового скриптинга (XSS) и даже создания административных бэкдоров», — предупреждают эксперты компании WPScan.
Также злоумышленники могут использовать устаревшие или заброшенные плагины для обхода защитных мер, подделки записей в БД, выполнения вредоносных скриптов и полного захвата контроля над уязвимыми сайтами.
Аналитики WPScan обнаружили проблему CVE-2024-11972 при анализе заражения на неназванном сайте под управлением WordPress. Оказалось, что злоумышленники уже активно эксплуатируют баг для установки заброшенного плагина WP Query Console, а затем используют RCE-уязвимость в нем для выполнения вредоносного PHP-кода. В результате хакеры получают бэкдор-доступ к ресурсу.
При этом CVE-2024-11972 представляет собой проблему обхода патча для другой аналогичной уязвимости в Hunk Companion — CVE-2024-9707 (9,8 балла по шкале CVSS). Эта проблема так же позволяла установить и активировать дополнительные плагины и, по всей видимости, была не до конца устранена разработчиками в версии 1.8.5.
Стоит отметить, что упомянутая RCE-уязвимость в плагине WP Query Console (CVE-2024-50498, 10 баллов из 10 возможных по шкале CVSS) остается неисправленной по сей день.
Исследователи объясняют, что находящаяся под атаками уязвимость в Hunk Companion связана с ошибкой в скрипте hunk-companion/import/app/app.php. Баг позволяет неаутентифицированным запросам обходить проверки, которые должны использоваться проверки наличия прав на установку плагинов у текущего пользователя. В итоге злоумышленник получает возможность устанавливать произвольные плагины с помощью неаутентифицированных POST-запросов.
Учитывая серьезность проблемы и обнаруженные атаки, всем пользователям Hunk Companion рекомендуется как можно скорее обновиться до версии 1.9.0.
