Krytyczna luka wtyczki Hunk Companion dla WordPress
Specjaliści ds. cyberbezpieczeństwa ostrzegają przed krytyczną luką w zabezpieczeniach wtyczki Hunk Companion dla WordPress, która jest wykorzystywana przez cyberprzestępców do instalowania innych podatnych wtyczek. Problem ten może prowadzić do szeregu poważnych zagrożeń, w tym zdalnego wykonywania kodu (RCE), wstrzykiwania SQL, ataków Cross-Site Scripting (XSS) czy nawet tworzenia tylnych wejść administracyjnych.
Luka w zabezpieczeniach, oznaczona jako CVE-2024-11972 z bardzo wysokim wskaźnikiem oceny ryzyka CVSS wynoszącym 9,8, dotyczy wszystkich wersji wtyczki sprzed aktualizacji 1.9.0. Obecnie Hunk Companion ma ponad 10 000 aktywnych instalacji, co oznacza, że zagrożenie może dotknąć dużą grupę użytkowników platformy WordPress.
Jak atakujący wykorzystują lukę?
Eksperci z WPScan wskazują, że luka pozwala nieautoryzowanym użytkownikom na instalowanie podejrzanych lub porzuconych wtyczek. To z kolei stwarza możliwość dalszych nadużyć, takich jak manipulacja bazami danych, wykonywanie podejrzanych skryptów czy przejęcie pełnej kontroli nad stroną internetową. Problem ten wykryto podczas analizy infekcji na jednym z niezidentyfikowanych serwisów, gdzie przestępcy zainstalowali wtyczkę o nazwie WP Query Console, obecnie usuniętą z repozytorium WordPress. Po tym etapie wykorzystywali istniejącą w niej lukę RCE do wykonywania złośliwego kodu PHP.
Wzmiankowana wtyczka WP Query Console jest również podatna na atak poprzez lukę oznaczoną jako CVE-2024-50498, której wskaźnik ryzyka CVSS wynosi aż 10.0. Niestety, podatność ta pozostaje nienaprawiona, co zwiększa ryzyko dla użytkowników, którzy zainstalowali tę wtyczkę przed jej wycofaniem.
Źródło problemu
Podstawowym źródłem problemu w wtyczce Hunk Companion jest luka w skrypcie „hunk-companion/import/app/app.php”, która pozwala na obchodzenie mechanizmu weryfikacji uprawnień użytkownika do instalowania wtyczek. Chociaż wcześniejsze wersje wtyczki miały już pewne poprawki związane z bezpieczeństwem – jak w przypadku luki oznaczonej CVE-2024-9707, która została załatana w wersji 1.8.5 – obecny problem pokazuje, że zabezpieczenia te są niewystarczające, szczególnie wobec zaawansowanych technik wykorzystywanych przez cyberprzestępców.
Ekspert WPScan, Daniel Rodriguez, zwraca uwagę na szczególną złożoność ataku, który łączy różne, wcześniej załatane luki i podatności. Cyberprzestępcy wykorzystują przykład luki w Hunk Companion do zainstalowania porzuconej wtyczki WP Query Console, w której znajduje się kolejna krytyczna podatność typu RCE.
Znaczenie odpowiedniego zabezpieczenia wtyczek
Opisywana sytuacja jest kolejnym przypomnieniem o konieczności dbałości o aktualizację i zabezpieczenie wszystkich komponentów strony internetowej opartej na WordPressie. Szczególną uwagę należy zwracać na wtyczki i motywy od zewnętrznych dostawców, które często stają się najsłabszym ogniwem w skutecznych zabezpieczeniach stron.
Atak, o którym mowa, to tylko jedno z wielu zagrożeń związanych z podatnymi wtyczkami WordPress. Przykładem może być również niedawno odkryta luka w wtyczce WPForms, oznaczona jako CVE-2024-11205, posiadająca wysoki wskaźnik ryzyka CVSS na poziomie 8.5. Luka ta pozwala abonentom i użytkownikom z dostępem na poziomie Subskrybenta anulować płatności Stripe lub anulować subskrypcje. Problem ten został naprawiony w WPForms w wersji 1.9.2.2, lecz wcześniej dotyczył ponad 6 milionów aktywnych instalacji.
Wnioski i najlepsze praktyki
Omawiane zagrożenia powinny motywować administratorów WordPressa do regularnego monitorowania i aktualizowania swoich stron. Z uwagi na możliwość wykorzystania nieaktualnych lub porzuconych wtyczek jako punktów wejścia dla ataków, zaleca się całkowite usunięcie nieużywanych rozszerzeń. Ponadto, warto rozważyć implementację dodatkowych narzędzi ochronnych, takich jak zapory aplikacyjne (WAF) oraz skanery bezpieczeństwa.
Wzrost liczby podatności w popularnych wtyczkach WordPress przypomina, że ryzyko cyberataków pozostaje realne. Dlatego właściciele stron powinni inwestować w bezpieczeństwo swoich serwisów i wykonywać regularne audyty konfiguracji. Tylko ciągła czujność i aktualizacje mogą skutecznie przeciwdziałać najnowszym zagrożeniom w dynamicznie zmieniającym się świecie cyberbezpieczeństwa.