Malware-ային հարձակումների նոր արշավն ակտիվորեն օգտագործում է WordPress-ի Popup Builder հավելվածի անվտանգության կրիտիկական խոցելիությունը, որպեսզի ներքին համակարգելում կարողանա JavaScript-ի code–եր inject անի։
Վերջին երեք շաբաթվա ընթացքում արշավի ընթացքում վնասվել է ավելի քան 3,900 կայք։
«Այս հարձակումները կազմակերպվում են նորաստեղծ domain–երից», – նշում է անվտանգության փորձագետ՝ Պուջա Սրիվաստավան։
Այս խոցելիությունն ակտիվորեն օգտագործվեց որպես Balada Injector արշավի մի մաս, ինչն էլ հունվարի սկզբին ավելի քան 7000 կայք վտանգեց։
Հարձակումների վերջին քայլով ներքին համակարգերում malicious code է գործարկվում, որի արդյունքում կայքի այցելուներին վերահղում է այլ կայքեր, ինչպիսիք են՝ ֆիշինգն ու scam էջերը:
WordPress կայքի օգտատերերին խորհուրդ է տրվում թարմացնել իրենց plugin–երը։
Cross-site scripting (XSS) խոցելիությունը՝ CVE-2024-2123 (CVSS գնահատման միավորը՝ 7.2) ազդում է հավելվածի բոլոր տարբերակների վրա, ներառյալ՝ 2.8.3-ը: Այն վերաշտկվել է 2.8.4 տարբերակով, որը թողարկվեց 2024 թվականի մարտի 6-ին։
Հարկ է նշել, որ plugin-ների սպասարկողները դեռևս փետրվարի 19-ին թողարկված 2.8.3 տարբերակում անդրադարձել էին համանման մեկ այլ խոցելիության՝ CVE-2024-1071 (CVSS կատալոգում միավորը՝ 9.8) ։
Ուսումնասիրություններն ու բացահայտումները հետևում են նաև Avada WordPress ֆայլերի վերբեռնման կամայական խոցելիության հայտնաբերմանը (CVE-2024-1468, CVSS գնահատման միավորը՝ 8.8)։
«Սա վավերացված հաքերին հնարավորություն է տալիս հասնել contributor-level access–ի և սերվերից կամայական ֆայլեր վերբեռնել, ինչն էլ նպաստում է remote code–ի կատարման», – փոխանցում է Wordfence-ը:
Աղբյուրը՝ https://thehackernews.com/
