L’équipe Wordfence Threat Intelligence a surveillé une augmentation des attaques ciblant une vulnérabilité de script intersite dans Beautiful Cookie Consent Banner, un plugin WordPress installé sur plus de 40 000 sites. La vulnérabilité, qui a été entièrement corrigée en janvier dans la version 2.10.2, offre aux attaquants non authentifiés la possibilité d’ajouter du JavaScript malveillant à un site Web, permettant potentiellement des redirections vers des sites malveillants ainsi que la création d’utilisateurs administrateurs malveillants, qui sont tous deux attrayants. cas pour les attaquants.
Tous les sites Wordfence, y compris ceux qui fonctionnent Wordfence gratuit, Wordfence Premium, Soins des motset Réponse Wordfence, sont protégés contre cette vulnérabilité par la protection intégrée contre les scripts intersites du pare-feu Wordfence. Notez que puisque cette vulnérabilité ne nécessitait pas de règle de pare-feu distincte, les statistiques la concernant ne sont actuellement pas accessibles au public sur Wordfence Intelligence car elles sont agrégées sous la règle générale Tableau des scripts intersitesoù il représente actuellement environ plus des deux tiers de toutes les attaques bloquées par la règle.
Résumé des vulnérabilités de Wordfence Intelligence
La belle bannière de consentement aux cookies pour WordPress est vulnérable aux scripts intersites stockés via le nsc_bar_content_href
paramètre dans les versions jusqu’à 2.10.1 incluses en raison d’un nettoyage insuffisant des entrées et d’un échappement de sortie. Cela permet à des attaquants non authentifiés d’injecter des scripts Web arbitraires dans des pages qui s’exécutent chaque fois qu’un utilisateur accède à une page injectée. Un correctif partiel a été mis à disposition dans la version 2.10.1 et le problème a été entièrement corrigé dans la version 2.10.2.
Les Attaques
Selon nos archives, la vulnérabilité est activement attaquée depuis le 5 février 2023, mais il s’agit de la plus grande attaque contre elle que nous ayons vue. Nous avons bloqué près de 3 millions d’attaques contre plus de 1,5 million de sites, à partir de près de 14 000 adresses IP depuis le 23 mai 2023, et les attaques se poursuivent.
Sur la photo : un graphique montrant les sites attaqués et le nombre total d’attaques ciblant cette vulnérabilité
Nous pensons qu’il s’agit du travail d’un seul acteur, car chaque attaque contenait une charge utile partielle de onmouseenter="
et aucun autre JavaScript fonctionnel. Il est probable que cet ensemble d’attaques soit exécuté à l’aide d’un exploit mal configuré qui attend une charge utile personnalisée, et que l’attaquant n’ait tout simplement pas réussi à en fournir une.
Malgré ce fait, si votre site Web exécute une version vulnérable du plug-in et que vous n’utilisez pas actuellement Wordfence ou un autre pare-feu d’application Web, ces attaques ont le potentiel de corrompre la configuration du plug-in, ce qui peut interrompre la fonctionnalité prévue. Nous recommande toujours la mise à jour vers la dernière version, qui est 2.13.0 au moment de la rédaction de cet article, dès que possible.
Indicateurs de compromis
Demandes
Un exemple de requête montrant la charge utile utilisée
POST
demande à /wp-admin/admin-post.php
provenant d’adresses IP non reconnues peuvent apparaître dans les journaux de votre serveur ou dans votre trafic en direct si le plug-in Wordfence est installé.
Adresses IP
Nous avons inclus les 20 principales adresses IP attaquantes, bien qu’il y en ait beaucoup d’autres :
- 209.126.12.142
- 101.34.223.139
- 92.204.37.157
- 66.37.4.138
- 92.205.48.232
- 212.237.233.32
- 195.201.82.166
- 67.205.58.212
- 51.38.27.102
- 173.236.213.148
- 207.244.241.230
- 74.208.177.185
- 92.204.33.117
- 134.119.0.186
- 5.9.238.21
- 92.205.64.149
- 94.158.149.174
- 173.236.215.161
- 92.205.48.177
- 190.54.62.76
Si votre site a été affecté par cette campagne d’attaque ou par une précédente, il se peut qu’elle ait corrompu le nsc_bar_bannersettings_json
option dans votre base de données. Les développeurs du plugin ont inclus des fonctionnalités dans les versions corrigées pour réparer les modifications apportées à la suite de cet exploit.
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert une augmentation des attaques ciblant une vulnérabilité corrigée dans Beautiful Cookie Consent Banner.
Tous les sites Wordfence, y compris ceux qui fonctionnent Wordfence gratuit, Wordfence Premium, Soins des motset Réponse Wordfencesont protégés contre cette vulnérabilité par la protection intégrée contre les scripts intersites du pare-feu Wordfence.
Cependant, si vous avez des amis ou des collègues qui utilisent ce plugin, veuillez leur transmettre cet avis – alors que la vague actuelle d’attaques ne contient pas de charge utile malveillante, l’attaquant derrière cela cible une grande liste de sites et dispose de ressources importantes à leur disposition. , et il leur serait simple de mettre à jour leur configuration d’exploit avec une charge utile malveillante viable.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.
Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence.
Source link