Oficialmente designada como CVE-2024-2876 com uma pontuação CVSS de 9,8 (crítica), a vulnerabilidade representa uma ameaça significativa, pois expõe vários sites a ataques potenciais.
O cerne do problema reside em uma vulnerabilidade de injeção de SQL, uma falha que permite que atores mal-intencionados injetem e executem consultas SQL prejudiciais diretamente nos bancos de dados WordPress afetados, sem a necessidade de autenticação.
Afetando todas as versões até 5.7.14 inclusive, a falha de injeção decorre do tratamento inadequado dos parâmetros fornecidos pelo usuário e da preparação insuficiente de consultas SQL na função ‘run’ da classe ‘IG_ES_Subscribers_Query’ .
Através da exploração de entradas de usuários inadequadamente higienizadas, os agressores podem inserir comandos SQL não aprovados e consultas SQL adicionais nos já existentes, comprometendo assim a integridade e a confidencialidade das informações armazenadas no banco de dados WordPress.
Como isso se transformou no último exploit CVE-2024-27956?
Nos casos de ataques observados, CVE-2024-27956 foi utilizado para executar consultas não autorizadas em bancos de dados e estabelecer novas contas de administrador em sites WordPress vulneráveis (por exemplo, aqueles que começam com “xtw”).
A revelação surge em meio à revelação de vulnerabilidades críticas em plugins como CVE-2024-2876, Forminator (CVE-2024-28890) e Registro de Usuário (CVE-2024-2417).
Essas vulnerabilidades representam riscos significativos, pois podem facilitar potencialmente a extração de dados confidenciais, como hashes de senha, do banco de dados, permitir o upload de arquivos arbitrários e conferir privilégios de administrador a usuários não autorizados.
Isso inclui a instalação de plug-ins que permitem upload de arquivos ou manipulação de código, sugerindo esforços para transformar os sites comprometidos em bases para ações futuras.
A empresa de segurança WordPress Patchstack tornou CVE-2024-27956 público em 13 de março de 2024.
Resposta do Wallarm e primeiras explorações
Embora o CVE tenha sido divulgado em 13 de março, a exploração massiva da vulnerabilidade só começou por volta de maio, quando um modelo Nuclei sobre a exploração foi desenvolvido e publicado no GitHub.
Desde maio, a plataforma Wallarm WAAP detectou mais de 3.000 solicitações maliciosas associadas a esta vulnerabilidade. Um exemplo de tentativa de digitalização usando o scanner Nuclei e como ela foi detectada pela plataforma Wallarm é mostrado abaixo.
Um exemplo de ataque usando o exploit GitHub e detectado pela plataforma Wallarm WAAP é mostrado na figura abaixo.
Ação de Remediação
1. Como todas as versões até 5.7.14 foram detectadas com o CVE, é recomendado que os usuários atualizem o plug-in Email Subscribers by Icegram Express para a versão 5.7.15 (ou a versão mais recente 5.7.19).
2. Os usuários do Patchstack têm a opção de ativar atualizações automáticas especificamente para plug-ins vulneráveis.
3. Implementar uma solução WAF/WAAP como uma camada adicional de proteção. A vantagem de tais soluções é que mesmo que a vulnerabilidade seja nova e desconhecida (dia 0), ainda pode impedir ataques através da detecção de padrões e técnicas de exploração.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…