WordPress Plugin Exploit: Massive Angriffe zielen auf das Beautiful Cookie Consent Banner ab

Die WordPress-Sicherheitsfirma Defiant hat Angriffe beobachtet, die ein unautorisiertes Stored Cross-Site Scripting (XSS) in einem WordPress-Plugin namens Beautiful Cookie Consent Banner anvisieren, das mehr als 40.000 aktive Installationen hat.

Zu Beginn ist Cross Site Scripting eine Art von Injection, bei der der Angreifer bösartige Skripte in vertrauenswürdige Websites injiziert. Bei XSS-Angriffen sendet der Bedrohungsakteur einen bösartigen Code, wie im browserseitigen Skript, an einen anderen Benutzer.

Die Auswirkungen können unautorisierten Zugriff auf sensible Informationen, Sitzungsübernahme und Malware-Infektionen durch Weiterleitungen zu bösartigen Seiten oder die vollständige Kompromittierung des Systems des Opfers umfassen.

Laut der WordPress-Sicherheitsfirma Defiant ermöglicht die betreffende Schwachstelle auch unautorisierten Angreifern, betrügerische Admin-Konten auf Websites zu erstellen, die nicht gepatchte Plugin-Versionen (bis einschließlich 2.10.1) ausführen. Die in dieser Aktivität erklärte Schwachstelle wurde im Januar mit einer neueren Version, d.h. 2.10.2, gepatcht.

Lesen: CISA warnt vor Sicherheitsanfälligkeit bei Samsung-Geräten, die einen Android ASLR-Umgehung ermöglicht

Laut dem Bedrohungsanalysten Ram Gall wird die Schwachstelle seit dem 5. Februar 2023 aktiv angegriffen, aber dies ist der größte Angriff, den wir gesehen haben. “Wir haben seit dem 23. Mai fast 3 Millionen Angriffe gegen mehr als 1,5 Millionen Websites von fast 14.000 IP-Adressen blockiert, und die Angriffe dauern an.“

Trotz der großangelegten Natur dieser Angriffsaktivität verwendet der Bedrohungsakteur laut Gall einen falsch konfigurierten Exploit, der wahrscheinlich keine Nutzlast bereitstellt, selbst wenn er eine WordPress-Seite mit einer verwundbaren Plugin-Version angreift.

Dennoch wird den Admins oder den Eigentümern der Website, die ein Beautiful Cookie Consent Banner-Plugin verwenden, geraten, das Plugin auf die neueste Version zu aktualisieren, da ein fehlgeschlagener Angriff die Plugin-Konfiguration, die in der nsc_bar_bannersettings_json-Option gespeichert ist, beschädigen könnte.

Außerdem wurden die gepatchten Plugin-Versionen aktualisiert, um sich selbst zu reparieren, falls die Websites angegriffen wurden.

Obwohl die jüngste Welle von Angriffen möglicherweise nicht in der Lage ist, mit einer bösartigen Nutzlast zu injizieren, könnten die Bedrohungsakteure, die hinter dieser Aktivität stehen, diese Probleme beheben und wahrscheinlich diejenigen infizieren, die weiterhin exponiert sind.

Lesen: Bedrohungsakteur nutzt Microsoft Azure, um Zugriff auf virtuelle Maschinen zu erhalten