Эксплуатация плагина WordPress: Масштабные атаки на красивый баннер согласия на использование файлов cookie

Компания по безопасности WordPress, Defiant, наблюдала атаки, нацеленные на несанкционированную уязвимость хранения межсайтового скриптинга (XSS) в плагине WordPress под названием Beautiful Cookie Consent Banner, который имеет более 40,000 активных установок.

Для начала, межсайтовый скриптинг — это тип инъекции, при котором злоумышленник внедряет вредоносные скрипты в доверенные веб-сайты. В атаках XSS злоумышленник отправляет вредоносный код, как в скрипте на стороне браузера, другому пользователю.

Эффект может включать несанкционированный доступ к конфиденциальной информации, захват сеансов и заражение вредоносным ПО через перенаправления на вредоносные сайты или полное компрометирование системы жертвы.

Согласно компании по безопасности WordPress, Defiant, уязвимость также позволяет несанкционированным злоумышленникам создавать недобросовестные учетные записи администраторов на веб-сайтах, которые используют неподправленные версии плагина (до и включая 2.10.1). Уязвимость, описанная в этой деятельности, была исправлена в январе с выходом новой версии, т.е. 2.10.2.

Читать: CISA предупреждает о проблеме безопасности устройств Samsung, позволяющей обойти ASLR Android

По словам аналитика угроз Рама Галла, уязвимость активно атакуется с 5 февраля 2023 года, но это самая крупная атака против нее, которую мы видели. “Мы заблокировали почти 3 миллиона атак против более чем 1.5 миллиона веб-сайтов с почти 14,000 IP-адресов с 23 мая, и атаки продолжаются.“

Несмотря на крупномасштабный характер этой атакующей деятельности, по словам Галла, злоумышленник использует неправильно настроенную уязвимость, которая, вероятно, не развернет полезную нагрузку, даже когда нацелена на веб-сайт WordPress с уязвимой версией плагина.

Тем не менее, администраторам или владельцам веб-сайтов, использующим плагин Beautiful Cookie Consent Banner, рекомендуется обновить плагин до последней версии, так как неудачная атака может повредить конфигурацию плагина, хранящуюся в опции nsc_bar_bannersettings_json.

Кроме того, исправленные версии плагина также были обновлены, чтобы восстановить себя в случае, если веб-сайты были нацелены.

Хотя недавняя волна атак может не быть способной внедрить вредоносную полезную нагрузку, злоумышленники, стоящие за этой деятельностью, могут исправить эти проблемы и, вероятно, заразить тех, кто остается уязвимым.

Читать: Злоумышленник использует Microsoft Azure для получения доступа к виртуальным машинам