En bølge av WordPress-pluginangrep sprer seg på internett og retter seg mot nettsteder som bruker utdaterte eller upatchede utvidelser. Cyberkriminelle utnytter kjente sårbarheter for å få kontroll over WordPress-sider og installere ondsinnede plugins. Kampanjen har allerede rammet tusenvis av nettsteder og viser hvor raskt manglende oppdateringer kan utvikle seg til alvorlige sikkerhetsrisikoer.
Omfattende utnyttelseskampanje
Sikkerhetsselskapet Wordfence rapporterte mer enn åtte millioner blokkerte angrepsforsøk på bare to dager. Den storskala kampanjen utnytter kritiske svakheter i pluginene GutenKit og Hunk Companion, som gir angripere muligheten til å installere og aktivere vilkårlige plugins. Begge sårbarhetene tillater fjernkjøring av kode uten autentisering, noe som gjør dem spesielt farlige for nettsteder som ikke er oppdatert.
Sårbarheter bak angrepene
Forskere identifiserte tre viktige sikkerhetshull som driver disse angrepene:
CVE-2024-9234 – påvirker GutenKit 2.1.0 og tidligere og gjør det mulig å installere uautoriserte plugins via eksponerte REST-endepunkter.
CVE-2024-9707 – påvirker Hunk Companion 1.8.4 og tidligere og lar angripere omgå autorisasjonskontroller.
CVE-2024-11972 – retter seg mot Hunk Companion 1.8.5 og tidligere og gjør det igjen mulig å laste opp og aktivere plugins uten brukerens samtykke.
Utviklerne har gitt ut sikkerhetsoppdateringer for GutenKit 2.1.1 og Hunk Companion 1.9.0, men mange administratorer har ennå ikke installert dem.
Angrepsmetoder og tegn på kompromittering
Angriperne distribuerer ondsinnede plugin-pakker som utgir seg for å være legitime verktøy, for eksempel SEO- eller ytelsesoptimalisering. Når de først er installert, laster skadevaren opp filer, kjører kommandoer og oppretter vedvarende bakdører.
Administratorer bør se etter mistenkelige API-forespørsler som:
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
De bør også undersøke kataloger som /wp-query-console, /up og /oke for ukjente filer eller skript. Tidlig oppdagelse kan forhindre videre utnyttelse.
Hvordan beskytte WordPress-nettsteder
Nettstedeiere kan redusere risikoen for WordPress-pluginangrep ved å følge noen viktige tiltak:
- Oppdater GutenKit og Hunk Companion til de nyeste sikre versjonene.
- Fjern ubrukte eller mistenkelige plugins og temaer.
- Overvåk serverlogger jevnlig for uvanlige API-kall eller uautoriserte filopplastinger.
- Bruk en pålitelig webapplikasjonsbrannmur for å blokkere ondsinnede forespørsler.
- Hold WordPress-kjernen og PHP-versjonen oppdatert.
Regelmessig vedlikehold og overvåking er avgjørende for å unngå omfattende infeksjoner.
Konklusjon
De nyeste WordPress-pluginangrepene viser hvor raskt utdaterte utvidelser kan bli inngangsporter for hackere. Ved å installere sikkerhetsoppdateringer, overvåke mistenkelig aktivitet og følge god cybersikkerhetspraksis kan administratorer forhindre alvorlige innbrudd. Regelmessige oppdateringer er fortsatt det mest effektive forsvaret mot storskala utnyttelseskampanjer som retter seg mot WordPress-nettsteder.
0 svar til “WordPress-pluginangrep utnytter utdaterte utvidelser”