En bølge af WordPress-pluginangreb spreder sig på internettet og rammer websteder, der bruger forældede eller ikke-opdaterede udvidelser. Cyberkriminelle udnytter kendte sårbarheder til at overtage WordPress-sider og installere ondsindede plugins. Kampagnen har allerede påvirket tusindvis af websteder og viser, hvor hurtigt manglende opdateringer kan udvikle sig til alvorlige sikkerhedsrisici.
Omfattende udnyttelseskampagne
Sikkerhedsfirmaet Wordfence rapporterede over otte millioner blokerede angrebsforsøg på blot to dage. Den storstilede kampagne udnytter kritiske fejl i GutenKit- og Hunk Companion-plugins, hvilket giver angriberne mulighed for at installere og aktivere vilkårlige udvidelser. Begge sårbarheder tillader fjernudførelse af kode uden godkendelse, hvilket gør dem særligt farlige for websteder, der ikke er blevet opdateret.
Sårbarheder bag angrebene
Forskere identificerede tre vigtige sikkerhedsfejl, der driver disse angreb:
CVE-2024-9234 – påvirker GutenKit 2.1.0 og tidligere og gør det muligt at installere uautoriserede plugins via eksponerede REST-endepunkter.
CVE-2024-9707 – påvirker Hunk Companion 1.8.4 og tidligere og tillader angribere at omgå autorisationskontroller.
CVE-2024-11972 – retter sig mod Hunk Companion 1.8.5 og tidligere og gør det igen muligt at uploade og aktivere plugins uden brugerens samtykke.
Udviklerne har udgivet sikkerhedsrettelser til GutenKit 2.1.1 og Hunk Companion 1.9.0, men mange administratorer har endnu ikke installeret dem.
Angrebsmetoder og tegn på kompromittering
Angriberne distribuerer ondsindede plugin-pakker, der udgiver sig for at være legitime værktøjer, såsom SEO- eller performance-optimering. Når de først er installeret, uploader malwaren filer, kører kommandoer og opretter vedvarende bagdøre.
Administratorer bør holde øje med mistænkelige API-anmodninger som:
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
De bør også inspicere mapper som /wp-query-console, /up og /oke for ukendte filer eller scripts. Tidlig opdagelse kan forhindre yderligere udnyttelse.
Sådan beskytter du WordPress-websteder
Webstedsejere kan reducere risikoen for WordPress-pluginangreb ved at følge nogle vigtige trin:
- Opdater GutenKit og Hunk Companion til de nyeste sikre versioner.
- Fjern ubrugte eller mistænkelige plugins og temaer.
- Overvåg serverlogfiler regelmæssigt for usædvanlige API-kald eller uautoriserede filuploads.
- Brug en pålidelig webapplikations-firewall til at blokere ondsindede forespørgsler.
- Hold WordPress-kernen og PHP-versionen opdateret.
Løbende vedligeholdelse og overvågning er afgørende for at undgå omfattende infektioner.
Konklusion
De seneste WordPress-pluginangreb viser, hvor hurtigt forældede udvidelser kan blive indgangspunkter for hackere. Ved at installere rettelser, overvåge mistænkelig aktivitet og følge god sikkerhedspraksis kan administratorer forhindre alvorlige angreb. Regelmæssige opdateringer er fortsat det mest effektive forsvar mod storskala udnyttelseskampagner, der målretter WordPress-websteder.
0 svar til “WordPress-pluginangreb udnytter forældede udvidelser”