Jak závažná je situace?

Zranitelnost byla ohodnocena kritickým skóre 9,8 z 10 na stupnici závažnosti CVSS (Common Vulnerability Scoring System). Daniel Rodriguez, výzkumník společnosti WP Scan specializující se na bezpečnost WordPressu, označil tuto chybu za „komplexní hrozbu,“ která může vést k masivnímu narušení integrity webů využívajících plugin Hunk Companion společně s motivy ThemeHunk. Podle Rodriguze byla zranitelnost objevena při analýze kompromitovaného webu jednoho z klientů.

Útočníci využili chybu CVE-2024-11972 k tomu, aby na napadené stránky nainstalovali zastaralý plugin WP Query Console, který obsahuje další neopravenou zranitelnost (CVE-2024-50498). Ta umožňuje útočníkům spustit libovolný škodlivý kód, což dává plnou kontrolu nad webem. Zneužitá verze WP Query Console nebyla aktualizována po několik let a byla dočasně stažena z platformy WordPress.org, avšak útočníci našli způsob, jak překonat toto omezení.

Proč je situace stále kritická?

I přes vydání opravy pluginu Hunk Companion (verze 1.9.0) zůstává znepokojivě nízké procento uživatelů, kteří si aktualizaci nainstalovali. Statistiky z WordPress.org naznačují, že pouhých 11,9 % uživatelů provedlo aktualizaci, což znamená, že téměř 9 000 webů je stále vystaveno riziku útoku. Navíc není jisté, zda speciální URL používané útočníky stále umožňuje instalaci blokovaných pluginů. Pokud ano, může tato technika nadále představovat riziko pro neaktualizované weby.

Zdroj: Shutterstock

Jak útok probíhá?

Podle bezpečnostní analýzy útok zahrnuje několik kroků:

1. Zneužití zranitelnosti Hunk Companion: Útočníci obejdou ověřovací mechanismy a přimějí web ke stažení a aktivaci libovolného pluginu.
2. Instalace WP Query Console: Přestože tento plugin byl stažen z WordPress.org, speciální URL umožňuje jeho instalaci.
3. Exekuce škodlivého kódu: Díky chybě v pluginu WP Query Console útočníci získají možnost spouštět příkazy na straně serveru, což jim dává plnou kontrolu nad napadeným webem.

Historie zranitelností pluginu Hunk Companion

Tato situace není první, kdy se Hunk Companion dostal do centra bezpečnostní pozornosti. Již dříve byla odhalena podobná zranitelnost (CVE-2024-9707) s identickým skóre závažnosti 9,8. Ta byla opravena ve verzi 1.8.5, ale současná situace ukazuje, že implementace bezpečnostních opatření zůstává mezi uživateli nedostatečná.

Doporučení pro majitele webů

Pokud využíváte WordPress a plugin Hunk Companion, je nutné podniknout následující kroky:

1. Okamžitá aktualizace pluginu: Ujistěte se, že používáte nejnovější verzi 1.9.0.
2. Ověření nainstalovaných pluginů: Zkontrolujte, zda na vašem webu není aktivní WP Query Console nebo jiné zastaralé a nebezpečné pluginy.
3. Zabezpečení přístupu: Používejte dvoufaktorovou autentizaci a pravidelně měňte hesla k administraci WordPressu.
4. Monitorování webu: Implementujte nástroje pro detekci malwaru a sledujte neobvyklé aktivity.