Kritikus sebezhetőségek terítéken
Három hibát használnak ki: CVE-2024-9234, CVE-2024-9707 és CVE-2024-11972. Ezek súlyossága rendkívül magas, 9,8-as CVSS-minősítésű. A GutenKit hibája (40 000 telepítés) lehetővé teszi ismeretlenek számára, hogy bármilyen plugint jogosultság nélkül telepítsenek. A Hunk Companion sebezhetőségei (8 000 telepítés) ugyanígy működnek – és mindegyik hozzáférést adhat egy újabb, sebezhető bővítmény telepítéséhez, amellyel már távolról is tetszőleges parancsok futtathatók.
Frissítés nélkül maradtak
A hibákat már 2024 októberében (GutenKit 2.1.1), illetve decemberben (Hunk Companion 1.9.0) javították, de rengeteg weboldal még mindig elavult verziókat futtat. A támadók a GitHubon tárolnak egy veszélyes, „up” nevű ZIP-csomagot, amely rejtett szkriptekkel engedi a támadónak a fájlok feltöltését, letöltését, törlését és a jogosultságok módosítását.
Álcázott támadási módszerek
Egyes szkriptek az All in One SEO bővítmény álcájában adminisztrátori jogot szereznek. Ha nem sikerül közvetlenül hátsó kaput (backdoort) nyitni, a támadók gyakran egy sérülékeny „wp-query-console” bővítményt telepítenek, amely lehetővé teszi a jelszó nélküli távoli hozzáférést.
Mit ellenőrizz?
A védekezéshez ajánlott a /wp-json/gutenkit/v1/install-active-plugin és a /wp-json/hc/v1/themehunk-import hívásait keresni a belépési naplókban, valamint az /up, /background-image-cropper, /ultra-seo-processor-wp, /oke és /wp-query-console könyvtárakat ellenőrizni gyanús tartalom után. Minden adminisztrátornak érdemes az összes bővítményt haladéktalanul a legfrissebb verzióra frissítenie.
