Oficialmente designada como CVE-2024-2876 com uma pontuação CVSS de 9,8 (crítica), a vulnerabilidade representa uma ameaça significativa, pois expõe vários sites a ataques potenciais.
O cerne do problema reside em uma vulnerabilidade de injeção de SQL, uma falha que permite que atores mal-intencionados injetem e executem consultas SQL prejudiciais diretamente nos bancos de dados WordPress afetados, sem a necessidade de autenticação.
Afetando todas as versões até 5.7.14 inclusive, a falha de injeção decorre do tratamento inadequado dos parâmetros fornecidos pelo usuário e da preparação insuficiente de consultas SQL na função ‘run’ da classe ‘IG_ES_Subscribers_Query’ .
Através da exploração de entradas de usuários inadequadamente higienizadas, os agressores podem inserir comandos SQL não aprovados e consultas SQL adicionais nos já existentes, comprometendo assim a integridade e a confidencialidade das informações armazenadas no banco de dados WordPress.
Como isso se transformou no último exploit CVE-2024-27956?
Nos casos de ataques observados, CVE-2024-27956 foi utilizado para executar consultas não autorizadas em bancos de dados e estabelecer novas contas de administrador em sites WordPress vulneráveis (por exemplo, aqueles que começam com “xtw”).
A revelação surge em meio à revelação de vulnerabilidades críticas em plugins como CVE-2024-2876, Forminator (CVE-2024-28890) e Registro de Usuário (CVE-2024-2417).
Essas vulnerabilidades representam riscos significativos, pois podem facilitar potencialmente a extração de dados confidenciais, como hashes de senha, do banco de dados, permitir o upload de arquivos arbitrários e conferir privilégios de administrador a usuários não autorizados.
Isso inclui a instalação de plug-ins que permitem upload de arquivos ou manipulação de código, sugerindo esforços para transformar os sites comprometidos em bases para ações futuras.
A empresa de segurança WordPress Patchstack tornou CVE-2024-27956 público em 13 de março de 2024.
Resposta do Wallarm e primeiras explorações
Embora o CVE tenha sido divulgado em 13 de março, a exploração massiva da vulnerabilidade só começou por volta de maio, quando um modelo Nuclei sobre a exploração foi desenvolvido e publicado no GitHub.
Desde maio, a plataforma Wallarm WAAP detectou mais de 3.000 solicitações maliciosas associadas a esta vulnerabilidade. Um exemplo de tentativa de digitalização usando o scanner Nuclei e como ela foi detectada pela plataforma Wallarm é mostrado abaixo.
Um exemplo de ataque usando o exploit GitHub e detectado pela plataforma Wallarm WAAP é mostrado na figura abaixo.
Ação de Remediação
1. Como todas as versões até 5.7.14 foram detectadas com o CVE, é recomendado que os usuários atualizem o plug-in Email Subscribers by Icegram Express para a versão 5.7.15 (ou a versão mais recente 5.7.19).
2. Os usuários do Patchstack têm a opção de ativar atualizações automáticas especificamente para plug-ins vulneráveis.
3. Implementar uma solução WAF/WAAP como uma camada adicional de proteção. A vantagem de tais soluções é que mesmo que a vulnerabilidade seja nova e desconhecida (dia 0), ainda pode impedir ataques através da detecção de padrões e técnicas de exploração.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…