CVE-2024-2876: A exploração mais recente do WordPress compromete mais de 90.000 sites

Oficialmente designada como CVE-2024-2876 com uma pontuação CVSS de 9,8 (crítica), a vulnerabilidade representa uma ameaça significativa, pois expõe vários sites a ataques potenciais.

O cerne do problema reside em uma vulnerabilidade de injeção de SQL, uma falha que permite que atores mal-intencionados injetem e executem consultas SQL prejudiciais diretamente nos bancos de dados WordPress afetados, sem a necessidade de autenticação.

Afetando todas as versões até 5.7.14 inclusive, a falha de injeção decorre do tratamento inadequado dos parâmetros fornecidos pelo usuário e da preparação insuficiente de consultas SQL na função ‘run’ da classe ‘IG_ES_Subscribers_Query’ .

Através da exploração de entradas de usuários inadequadamente higienizadas, os agressores podem inserir comandos SQL não aprovados e consultas SQL adicionais nos já existentes, comprometendo assim a integridade e a confidencialidade das informações armazenadas no banco de dados WordPress.

Como isso se transformou no último exploit CVE-2024-27956?

Nos casos de ataques observados, CVE-2024-27956 foi utilizado para executar consultas não autorizadas em bancos de dados e estabelecer novas contas de administrador em sites WordPress vulneráveis ​​(por exemplo, aqueles que começam com “xtw”).

A revelação surge em meio à revelação de vulnerabilidades críticas em plugins como CVE-2024-2876, Forminator (CVE-2024-28890) e Registro de Usuário (CVE-2024-2417).

Essas vulnerabilidades representam riscos significativos, pois podem facilitar potencialmente a extração de dados confidenciais, como hashes de senha, do banco de dados, permitir o upload de arquivos arbitrários e conferir privilégios de administrador a usuários não autorizados.

Isso inclui a instalação de plug-ins que permitem upload de arquivos ou manipulação de código, sugerindo esforços para transformar os sites comprometidos em bases para ações futuras.

A empresa de segurança WordPress Patchstack tornou CVE-2024-27956 público em 13 de março de 2024.

Resposta do Wallarm e primeiras explorações

Embora o CVE tenha sido divulgado em 13 de março, a exploração massiva da vulnerabilidade só começou por volta de maio, quando um modelo Nuclei sobre a exploração foi desenvolvido e publicado no GitHub.

Desde maio, a plataforma Wallarm WAAP detectou mais de 3.000 solicitações maliciosas associadas a esta vulnerabilidade. Um exemplo de tentativa de digitalização usando o scanner Nuclei e como ela foi detectada pela plataforma Wallarm é mostrado abaixo.

Um exemplo de ataque usando o exploit GitHub e detectado pela plataforma Wallarm WAAP é mostrado na figura abaixo.

Ação de Remediação

1. Como todas as versões até 5.7.14 foram detectadas com o CVE, é recomendado que os usuários atualizem o plug-in Email Subscribers by Icegram Express para a versão 5.7.15 (ou a versão mais recente 5.7.19).

2. Os usuários do Patchstack têm a opção de ativar atualizações automáticas especificamente para plug-ins vulneráveis.

3. Implementar uma solução WAF/WAAP como uma camada adicional de proteção. A vantagem de tais soluções é que mesmo que a vulnerabilidade seja nova e desconhecida (dia 0), ainda pode impedir ataques através da detecção de padrões e técnicas de exploração.