En kritisk sårbarhet i pluginen Everest Forms Pro blir aktivt utnyttet og gjør det mulig for angripere å ta kontroll over sårbare WordPress-nettsteder.
Sikkerhetsforskere har observert pågående angrep som retter seg mot sårbarheten, som gjør det mulig for trusselaktører uten autentisering å opprette administratorkontoer uten gyldige innloggingsopplysninger. Når angripere først får administratorrettigheter, kan de endre innhold på nettstedet, installere ondsinnede utvidelser, distribuere skadevare eller opprettholde langvarig tilgang til kompromitterte nettsteder.
Oppdagelsen har ført til hastende advarsler til WordPress-administratorer som bruker berørte versjoner av det populære skjematillegget.
Sårbarheten muliggjør full overtakelse av nettsteder
Everest Forms-sårbarheten påvirker premiumversjonen av pluginen og har fått en kritisk alvorlighetsgrad.
Ifølge forskerne kan angripere utnytte sårbarheten til å omgå vanlige autentiseringsmekanismer og opprette nye administratorkontoer på sårbare nettsteder. Siden administratorrettigheter gir full kontroll over en WordPress-installasjon, kan vellykket utnyttelse raskt føre til full kompromittering av nettstedet.
I motsetning til angrep som krever stjålne innloggingsopplysninger, kan denne sårbarheten utnyttes eksternt uten tidligere tilgang til nettstedet.
Dette øker risikoen betydelig for internetteksponerte WordPress-installasjoner som fortsatt ikke er oppdatert.
Aktiv utnyttelse er allerede i gang
Forskerne rapporterte at trusselaktører begynte å rette seg mot sårbarheten kort tid etter at detaljene ble offentlig kjent.
Angrepene fokuserer på å identifisere sårbare nettsteder og automatisk opprette falske administratorkontoer. Når tilgangen er etablert, kan angriperne bruke det kompromitterte nettstedet til en rekke ondsinnede formål.
Noen kan distribuere skadevare eller omdirigere besøkende til svindelsider. Andre kan bruke det kompromitterte nettstedet som en del av en større angrepsinfrastruktur.
Hastigheten på utnyttelsen viser hvor raskt nettkriminelle gjør nye WordPress-sårbarheter til effektive angrepsverktøy.
WordPress-utvidelser forblir populære mål
WordPress driver en betydelig del av internett, noe som gjør økosystemet av utvidelser til et hyppig mål for angripere.
Mange kompromitteringer av nettsteder starter gjennom sårbare utvidelser som tilbyr ekstra funksjonalitet, men som samtidig kan introdusere sikkerhetssvakheter. Skjemautvidelser er spesielt attraktive fordi de ofte behandler brukerdata og samhandler med sensitive funksjoner på nettstedet.
Sikkerhetseksperter anbefaler å minimere antallet unødvendige utvidelser og installere oppdateringer så snart de blir tilgjengelige.
Regelmessige sikkerhetsgjennomganger kan også bidra til å identifisere utdaterte komponenter før angripere rekker å utnytte dem.
Nettstedseiere bør oppdatere umiddelbart
Utvikleren bak pluginen har lansert oppdateringer som løser sårbarheten.
Administratorer bør installere den nyeste versjonen så snart som mulig og gjennomgå brukerkontoer for å avdekke uautoriserte administratorprofiler. Sikkerhetsteam bør også undersøke logger for uvanlig aktivitet knyttet til opprettelse av kontoer og granske eventuelle tegn på kompromittering.
Organisasjoner som utsetter oppdateringen, risikerer å la nettstedene sine stå åpne for pågående angrep.
Konklusjon
Everest Forms-sårbarheten viser hvordan én sårbar utvidelse kan sette et helt WordPress-nettsted i fare. Ved å gjøre det mulig for angripere å opprette administratorkontoer uten autentisering gir sårbarheten en direkte vei til full kontroll over nettstedet.
Siden aktiv utnyttelse allerede pågår, bør berørte organisasjoner prioritere oppdateringer og undersøke miljøene sine for tegn på uautorisert tilgang før angripere rekker å etablere et varig fotfeste.
0 responses to “Everest Forms-sårbarhet lar angripere ta over WordPress-nettsteder”