Hakerzy aktywnie wykorzystują niedawno załataną lukę we wtyczce WordPress Advanced Custom Fields. Zmasowane ataku zaobserwowano 24 godziny po upublicznieniu proof-of-concept (PoC) exploita wykorzystującego podatność CVE-2023-30777. Ta podatność to XSS, który pozwala nieupoważnionym napastnikom na kradzież poufnych informacji i eskalację uprawnień na zaatakowanych stronach WordPressa.
Luka została odkryta przez firmę Patchstack zajmującą się bezpieczeństwem stron internetowych 2 maja 2023 r. i została ujawniona wraz z exploitem proof-of-concept 5 maja, dzień po tym, jak producent wtyczek wydał aktualizację bezpieczeństwa w wersji 6.1.6.
Grupa Akamai Security Intelligence Group (SIG) od 6 maja 2023 roku zaobserwowała znaczącą aktywność w zakresie ataków używających udostępnionego w publikacji Patchstacka.
https://www.akamai.com/blog/security-research/attackers-leverage-sample-exploit-wordpress-plugin
“Akamai SIG przeanalizowało dane dotyczące ataków XSS i zidentyfikowało ataki rozpoczynające się w ciągu 24 godzin od upublicznienia exploita PoC”
Akamai w swoim raporcie podkreśla, że ponad 1,4 miliona stron internetowych korzystających z zaatakowanej wtyczki WordPress nie zostało zaktualizowanych do najnowszej wersji.
Używam Advanced Custom Fields co teraz?
Błąd XSS wymaga zaangażowania zalogowanego użytkownika, który ma dostęp do wtyczki, aby uruchomić złośliwy kod w swojej przeglądarce. Warto jednak mieć na uwadze, że exploit działa na domyślnych konfiguracjach zaatakowanych wersji wtyczek, co zwiększa szanse powodzenia dla aktorów zagrożeń, nie wymagając dodatkowego wysiłku.
Administratorzy witryn WordPress korzystający z podatnych na atak wtyczek powinni natychmiastowo zainstalować dostępną łatkę akrualizującą w celu ochrony. Zalecanym działaniem jest aktualizacja wtyczek “Advanced Custom Fields” do wersji 5.12.6 lub 6.1.6.
