Οι χάκερ στοχεύουν ένα ευάλωτο Elementor plugin του WordPress μετά την κυκλοφορία ενός Proof-of-Concept.
Οι χάκερ αναζητούν τώρα ενεργά ευάλωτες εκδόσεις του πρόσθετου Essential Addons for Elementor σε χιλιάδες ιστότοπους WordPress σε μαζικές σαρώσεις στο Διαδίκτυο, προσπαθώντας να εκμεταλλευτούν ένα κρίσιμο ελάττωμα επαναφοράς κωδικού πρόσβασης λογαριασμού που αποκαλύφθηκε νωρίτερα αυτό το μήνα.
Το σφάλμα κρίσιμης σοβαρότητας, που εντοπίζεται ως CVE-2023-32243, επηρεάζει τις εκδόσεις Essential Addons for Elementor από 5.4.0 έως 5.7.1. Επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να επαναφέρουν αυθαίρετα τους κωδικούς πρόσβασης των λογαριασμών διαχειριστή και να αναλάβουν τον έλεγχο των ιστότοπων.
Το ελάττωμα που επηρέασε πάνω από ένα εκατομμύριο ιστότοπους ανακαλύφθηκε από το PatchStack στις 8 Μαΐου 2023 και διορθώθηκε από τον προμηθευτή στις 11 Μαΐου, με την κυκλοφορία της έκδοσης 5.7.2 του plugin.
Δείτε επίσης: LayerZero: Λανσάρει πρόγραμμα επιβράβευσης crypto bug που προσφέρει $15M
Δείτε επίσης: Η ομάδα hacking Lemon Group έχει προεγκαταστήσει το Guerilla malware σε Android συσκευές
Κλίμακα του exploitation
Στις 14 Μαΐου 2023, οι ερευνητές δημοσίευσαν ένα proof-of-concept exploit στο GitHub, καθιστώντας το εργαλείο ευρέως διαθέσιμο στους επιτιθέμενους.
Εκείνη την εποχή, ένας αναγνώστης του BleepingComputer και ιδιοκτήτης ιστότοπου ανέφερε ότι ο ιστότοπός του είχε πληγεί από χάκερς που εκμεταλλεύτηκαν το ελάττωμα για να επαναφέρουν τον κωδικό πρόσβασης διαχειριστή. Ωστόσο, η κλίμακα του exploitation ήταν άγνωστη.
Μια έκθεση της Wordfence που δημοσιεύθηκε χθες ρίχνει περισσότερο φως, με την εταιρεία να ισχυρίζεται ότι έχει παρατηρήσει εκατομμύρια απόπειρες ανίχνευσης της παρουσίας του πρόσθετου σε ιστότοπους και ότι έχει μπλοκάρει τουλάχιστον 6.900 απόπειρες exploitation.
Την επομένη της αποκάλυψης του ελαττώματος, η WordFence κατέγραψε 5 εκατομμύρια ανιχνευτικές σαρώσεις που αναζητούσαν το αρχείο “readme.txt” του πρόσθετου, το οποίο περιέχει πληροφορίες για την έκδοση του πρόσθετου και ως εκ τούτου καθορίζει αν ένας ιστότοπος είναι ευάλωτος.
Τα περισσότερα από αυτά τα αιτήματα προέρχονταν από δύο μόνο διευθύνσεις IP, το ‘185.496.220.26’ και το ‘185.244.175.65.’
Όσον αφορά τις προσπάθειες exploitation, η διεύθυνση IP “78.128.60.112” είχε σημαντικό όγκο, χρησιμοποιώντας το PoC exploit που δημοσιεύτηκε στο GitHub. Άλλες υψηλόβαθμες IPs επίθεσης μέτρησαν μεταξύ 100 και 500 προσπαθειών.
Δείτε επίσης: ChatGPT apps ήταν στην πραγματικότητα fleeceware – Διαγράψτε τα τώρα!
Συνιστάται στους ιδιοκτήτες ιστότοπων που χρησιμοποιούν το plugin “Essential Addons for Elementor” να εγκαταστήσουν αμέσως την έκδοση 5.7.2 ή νεότερη, προκειμένου να εφαρμοστεί η διαθέσιμη ενημέρωση ασφαλείας.
Επιπλέον, οι website administrators θα πρέπει να χρησιμοποιούν τους δείκτες παραβίασης που αναφέρονται στην έκθεση της Wordfence και να προσθέτουν τις παραβατικές διευθύνσεις IP σε μια λίστα αποκλεισμού για να σταματήσουν αυτές και μελλοντικές επιθέσεις.
Οι χρήστες του δωρεάν πακέτου ασφαλείας του Wordfence θα καλύπτονται από προστασία έναντι του CVE-2023-32243 στις 20 Ιουνίου 2023, επομένως είναι επίσης εκτεθειμένοι αυτήν τη στιγμή.
Πηγή πληροφοριών: bleepingcomputer.com
