Серьезная ошибка, влияющая на плагин LiteSpeed Cache для WordPress, активно используется злоумышленниками для создания мошеннических учетных записей администратора на уязвимых веб-сайтах.
Выводы получены от WPScan, в котором говорится, что уязвимость (CVE-2023-40000, оценка CVSS: 8.3) использовалась для настройки фиктивных пользователей‑администраторов с именами wpsupp-user и wp-configuser.
CVE-2023-40000, которая была раскрыта Patchstack в феврале 2024 года, представляет собой уязвимость для межсайтового скриптинга (XSS), которая может позволить пользователю, не прошедшему проверку подлинности, повысить привилегии с помощью специально созданных HTTP-запросов.
Ошибка была устранена в октябре 2023 года в версии 5.7.0.1. Стоит отметить, что последней версией плагина является 6.2.0.1, которая была выпущена 25 апреля 2024 года.
LiteSpeed Cache имеет более 5 миллионов активных установок, при этом статистика показывает, что версии, отличные от 5.7, 6.0, 6.1 и 6.2, по-прежнему активны на 16,8% всех веб-сайтов.
По данным компании, принадлежащей Automattic, вредоносная программа обычно внедряет в файлы WordPress код JavaScript, размещенный на доменах, таких как dns.startservicefounds[.]com и api.startservicefounds[.]com.
Создание учетных записей администратора на сайтах WordPress может иметь серьезные последствия, поскольку позволяет субъекту угрозы получить полный контроль над сайтом и выполнять произвольные действия, начиная от внедрения вредоносного ПО и заканчивая установкой вредоносных плагинов.
Для снижения потенциальных угроз пользователям рекомендуется применить последние исправления, просмотреть все установленные плагины и удалить все подозрительные файлы и папки.
"Ищите в базе данных подозрительные строки, такие как "eval (atob(Strings.fromCharCode", - сказал WPScan, - в частности, в опции litespeed.admin_display.messages".
Разработка происходит после того, как Sucuri раскрыла мошенническую кампанию по перенаправлению, получившую название Mal.Metrica, которая использует поддельные запросы на проверку CAPTCHA на зараженных сайтах WordPress, чтобы перенаправлять пользователей на мошеннические и нежелательные сайты, предназначенные для загрузки ненадежного программного обеспечения или заманивания жертв в предоставление личной информации под видом получения вознаграждения.
"Хотя это приглашение выглядит как обычная проверка человеком, на самом деле оно полностью поддельное - и вместо этого пытается обманом заставить пользователя нажать кнопку, тем самым инициируя перенаправление на вредоносные и мошеннические веб—сайты", - сказал исследователь безопасности Бен Мартин.
Как и Balada Injector, activity использует недавно обнаруженные недостатки безопасности в плагинах WordPress для внедрения внешних скриптов, которые выдают себя за CDN или сервисы веб-аналитики. На данный момент с помощью Mal.Metrica было скомпрометировано 17 449 веб-сайтов в 2024 году.
"Владельцы веб-сайтов WordPress могут захотеть рассмотреть возможность включения автоматического обновления основных файлов, плагинов и тем", - сказал Мартин. "Обычным пользователям Интернета также следует с осторожностью переходить по ссылкам, которые кажутся неуместными или подозрительными".
Выводы получены от WPScan, в котором говорится, что уязвимость (CVE-2023-40000, оценка CVSS: 8.3) использовалась для настройки фиктивных пользователей‑администраторов с именами wpsupp-user и wp-configuser.
CVE-2023-40000, которая была раскрыта Patchstack в феврале 2024 года, представляет собой уязвимость для межсайтового скриптинга (XSS), которая может позволить пользователю, не прошедшему проверку подлинности, повысить привилегии с помощью специально созданных HTTP-запросов.
Ошибка была устранена в октябре 2023 года в версии 5.7.0.1. Стоит отметить, что последней версией плагина является 6.2.0.1, которая была выпущена 25 апреля 2024 года.
LiteSpeed Cache имеет более 5 миллионов активных установок, при этом статистика показывает, что версии, отличные от 5.7, 6.0, 6.1 и 6.2, по-прежнему активны на 16,8% всех веб-сайтов.
По данным компании, принадлежащей Automattic, вредоносная программа обычно внедряет в файлы WordPress код JavaScript, размещенный на доменах, таких как dns.startservicefounds[.]com и api.startservicefounds[.]com.
Создание учетных записей администратора на сайтах WordPress может иметь серьезные последствия, поскольку позволяет субъекту угрозы получить полный контроль над сайтом и выполнять произвольные действия, начиная от внедрения вредоносного ПО и заканчивая установкой вредоносных плагинов.
Для снижения потенциальных угроз пользователям рекомендуется применить последние исправления, просмотреть все установленные плагины и удалить все подозрительные файлы и папки.
"Ищите в базе данных подозрительные строки, такие как "eval (atob(Strings.fromCharCode", - сказал WPScan, - в частности, в опции litespeed.admin_display.messages".
Разработка происходит после того, как Sucuri раскрыла мошенническую кампанию по перенаправлению, получившую название Mal.Metrica, которая использует поддельные запросы на проверку CAPTCHA на зараженных сайтах WordPress, чтобы перенаправлять пользователей на мошеннические и нежелательные сайты, предназначенные для загрузки ненадежного программного обеспечения или заманивания жертв в предоставление личной информации под видом получения вознаграждения.
"Хотя это приглашение выглядит как обычная проверка человеком, на самом деле оно полностью поддельное - и вместо этого пытается обманом заставить пользователя нажать кнопку, тем самым инициируя перенаправление на вредоносные и мошеннические веб—сайты", - сказал исследователь безопасности Бен Мартин.
Как и Balada Injector, activity использует недавно обнаруженные недостатки безопасности в плагинах WordPress для внедрения внешних скриптов, которые выдают себя за CDN или сервисы веб-аналитики. На данный момент с помощью Mal.Metrica было скомпрометировано 17 449 веб-сайтов в 2024 году.
"Владельцы веб-сайтов WordPress могут захотеть рассмотреть возможность включения автоматического обновления основных файлов, плагинов и тем", - сказал Мартин. "Обычным пользователям Интернета также следует с осторожностью переходить по ссылкам, которые кажутся неуместными или подозрительными".
