Η προσθήκη Hunk Companion WordPress αξιοποιήθηκε για την εγκατάσταση ευάλωτων προσθηκών

Οι χάκερ εκμεταλλεύονται μια κρίσιμη ευπάθεια στο πρόσθετο “Hunk Companion” για να εγκαταστήσουν και να ενεργοποιήσουν άλλα πρόσθετα με εκμεταλλεύσιμα ελαττώματα απευθείας από το αποθετήριο WordPress.org.

Με την εγκατάσταση ξεπερασμένων προσθηκών με γνωστά τρωτά σημεία με διαθέσιμα exploits, οι εισβολείς μπορούν να έχουν πρόσβαση σε μια μεγάλη δεξαμενή ελαττωμάτων που οδηγούν σε απομακρυσμένη εκτέλεση κώδικα (RCE), injection SQL, ελαττώματα cross-site scripting (XSS) ή να δημιουργήσουν λογαριασμούς διαχειριστή κερκόπορτας.

Η δραστηριότητα ανακαλύφθηκε από το WPScan, ο οποίος την ανέφερε στο Hunk Companion, με μια ενημέρωση ασφαλείας που αντιμετωπίζει το ελάττωμα zero-day που κυκλοφόρησε χθες.

Εγκατάσταση ευάλωτων προσθηκών

Το Hunk Companion είναι μια προσθήκη WordPress που έχει σχεδιαστεί για να συμπληρώνει και να βελτιώνει τη λειτουργικότητα των θεμάτων που αναπτύχθηκε από το ThemeHunk, έναν πάροχο προσαρμόσιμων θεμάτων WordPress, επομένως είναι περισσότερο πρόσθετο παρά αυτόνομο πρόσθετο.

Σύμφωνα με τα στατιστικά του WordPress.org, το Hunk Companion χρησιμοποιείται επί του παρόντος από πάνω από 10.000 ιστότοπους WordPress, επομένως είναι ένα σχετικά εξειδικευμένο εργαλείο στον χώρο.

Η κρίσιμη ευπάθεια ανακαλύφθηκε από τον ερευνητή του WPScan Daniel Rodriguez και παρακολουθείται ως CVE-2024-11972. Το ελάττωμα επιτρέπει την αυθαίρετη εγκατάσταση πρόσθετων μέσω μη επαληθευμένων αιτημάτων POST.

Το ζήτημα επηρεάζει όλες τις εκδόσεις του Hunk Companion πριν από την πιο πρόσφατη έκδοση 1.9.0, που κυκλοφόρησε χθες, η οποία αντιμετώπισε το πρόβλημα.

Κατά τη διερεύνηση μιας μόλυνσης ιστότοπου WordPress, το WPScan ανακάλυψε την ενεργή εκμετάλλευση του CVE-2024-11972 για την εγκατάσταση μιας ευάλωτης έκδοσης του WP Query Console.

Αυτό είναι ένα σκοτεινό πρόσθετο που ενημερώθηκε για τελευταία φορά πριν από 7 χρόνια, το οποίο οι χάκερ εκμεταλλεύτηκαν για να εκτελέσουν κακόβουλο κώδικα PHP στις στοχευμένες τοποθεσίες, αξιοποιώντας το ελάττωμα RCE μηδενικής ημέρας CVE-2024-50498.

“Στις μολύνσεις που έχουμε αναλύσει, οι εισβολείς χρησιμοποιούν το RCE για να γράψουν ένα dropper PHP στον ριζικό κατάλογο του ιστότοπου.” εξηγεί το WPScan.

“Αυτό το σταγονόμετρο επιτρέπει συνεχείς μεταφορτώσεις χωρίς έλεγχο ταυτότητας μέσω αιτημάτων GET, επιτρέποντας τη μόνιμη πρόσβαση σε κερκόπορτα στον ιστότοπο.”

Αξίζει να σημειωθεί ότι το Hunk Companion διόρθωσε ένα παρόμοιο ελάττωμα στην έκδοση 1.8.5, το οποίο παρακολουθήθηκε CVE-2024-9707αλλά προφανώς, η ενημέρωση κώδικα δεν ήταν επαρκής και υπάρχουν τρόποι παράκαμψης.

Δεδομένης της σοβαρότητας του ελαττώματος και της κατάστασης ενεργού εκμετάλλευσής του, συνιστάται στους χρήστες του Hunk Companion να ενημερώσουν το 1.9.0 το συντομότερο δυνατό.

Κατά τη στιγμή που γράφτηκε, ήταν η πιο πρόσφατη έκδοση κατεβάστηκε περίπου 1.800 φορέςεπομένως τουλάχιστον οκτώ χιλιάδες ιστότοποι παραμένουν ευάλωτοι στην εκμετάλλευση.