После публикации PoC-эксплойта наблюдалось большое число попыток захвата уязвимых сайтов.
Хакеры начали активно использовать недавно исправленную уязвимость в плагине WordPress Advanced Custom Fields через 24 часа после того, как PoC-эксплойт был выложен в сеть.
XSS-уязвимость CVE-2023-30777 (CVSS: 7.1), связана с отраженным межсайтовым скриптингом (Reflected XSS), который позволяет внедрять произвольные исполняемые скрипты на целевые сайты. По данным ИБ-компанией Patchstack, которая обнаружила недостаток, проблема позволяет неаутентифицированному злоумышленнику украсть конфиденциальную информацию и повысить привилегии на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес.
Уязвимость была обнаружена 2 мая и раскрыта вместе с PoC-эксплойтом 5 мая, на следующий день после того, как поставщик плагина выпустил обновление безопасности версии 6.1.6.
Команда Akamai Security Intelligence Group (SIG) сообщила , что с 6 мая наблюдалась значительная активность сканирования и эксплуатации с использованием примера кода, представленного в статье Patchstack. XSS-атаки начались в течение 24 часов после обнародования PoC-эксплойта
Попытки эксплуатации со стороны одного злоумышленника
Учитывая, что более 1,4 млн. веб-сайтов, использующих затронутый плагин WordPress , не обновлены до последней версии, у хакеров есть большая поверхность атаки для изучения.
XSS-уязвимость требует участия вошедшего в систему пользователя, имеющего доступ к плагину, для запуска вредоносного кода в своем браузере, который предоставит злоумышленникам доступ к сайту с высоким уровнем привилегий. Кроме того, эксплойт работает с конфигурациями по умолчанию уязвимых версий плагинов, что увеличивает шансы злоумышленников на успех без дополнительных усилий.
Администраторам сайтов WordPress, использующим уязвимые плагины, настоятельно рекомендуется немедленно применить доступное исправление для защиты от продолжающегося сканирования и эксплуатации. Необходимо обновить бесплатные и профессиональные плагины до версии 5.12.6 (бэкпорт) и 6.1.6.
Наш канал — питательная среда для вашего интеллекта