CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitate de tip zero-day în WPGateway plugin exploatată activ în mii de site-uri WordPress

WPGateway este un plugin din cadrul platformei WordPress care permite administratorilor să efectueze diverse actiuni, precum configurarea și salvarea site-urilor sau gestionarea temelor și a plugin-urilor prin intermediul unui dashboard central.

Această vulnerabilitate (CVE-2022-3180) este de tip privilege escalation și permite atacatorilor neautentificați să adauge un utilizator nelegitim cu drepturi de administrator pentru a prelua ulterior controlul complet asupra site-urilor pe care rulează pluginul WordPress vulnerabil.

Recent, echipa Wordfence Threat Intelligence a identificat o vulnerabilitate de tip zero-day exploatată activ, folosită pentru a adăuga utilizatori nelegitimi cu drepturi de administrator pe site-urile care rulează plugin-ul WPGateway. Conform celor de la Wordfence firewall-ul acestora a blocat cu succes peste 4,6 milioane de atacuri care au avut la bază această vulnerabilitate.

Deși Wordfence a dezvăluit exploatarea activă a acestei erori de securitate, nu a publicat informații suplimentare cu privire la aceste atacuri sau alte detalii referitoare la vulnerabilitate.

Pentru a verifica dacă site-ul administrat a fost compromis în această campanie, administratorii trebuie să verifice dacă a fost creat recent un nou utilizator cu permisiuni de administrator, denumit rangex. În plus, solicitările către //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 din log-uri vor arăta dacă site-ul a fost vizat în cadrul unui atac, dar nu a fost neapărat și compromis.

Pentru a evita atacurile de acest tip se recomandă verificarea utilizatorilor cu drepturi administrative și eliminarea plugin-ului WPGateway până când va fi disponibil un patch.

Sursa: https://www.blackhatethicalhacking.com/news/zero-day-in-wpgateway-wordpress-plugin-actively-exploited-thousands-wordpress-sites/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică