출처
WP Automatic WordPress plugin hit by millions of SQL injection attacks
Hackers have started to target a critical severity vulnerability in the WP Automatic plugin for WordPress to create user accounts with administrative privileges and to plant backdoors for long-term access.
www.bleepingcomputer.com
본문 내용
해커들은 WordPress 용 WP-Automatic Plugin의 심각한 심각도 취약점을 표적으로 삼아 관리 권한이 있는 사용자 계정을 생성하고 장기간 액세스를 위한 백도어를 설치하기 시작했다.
현재 30,000개 이상의 웹 사이트에 설치되어 있는 WP-Automatic을 사용하면 관리자는 다양한 온라인 소스에서 콘텐츠(ex. 텍스트, 이미지, 비디오)를 가져오고 WordPress 사이트에 게시하는 작업을 자동화할 수 있다.
악용된 취약점은 CVE-2024-27956으로 식별되며 심각도 점수 9.9/10을 받았다.
이는 3월 13일 PathStack 취약성 완화 서비스의 연구원에 의해 공개되었으며, 3.9.2.0 이전의 WP-Automatic 버전에 영향을 미치는 SQLi 문제로 설명되었다.
문제는 사이트의 데이터베이스에 SQL 쿼리를 제출하기 위해 우회될 수 있는 플러그인의 사용자 인증 메커니즘에 있다. 해커는 특별히 제작된 쿼리를 사용하여 대상 웹 사이트에 관리자 계정을 만들 수 있다.
Over 5.5 million attack attempts
PatchStack이 보안 문제를 공개한 이후 Automatic의 WPscan은 이 취약성을 활용하려는 공격을 550만 건 이상 관찰했으며, 대부분은 3월 31일에 기록되었다.
WPScan은 공격자가 대상 웹 사이트에 대한 관리자 액세스 권한을 얻은 후 백도어를 만들고 코드를 난독화하여 찾기 어렵게 만든다고 보도했다. WPScan의 보고서는 "WordPress 사이트가 손상되면 공격자는 백도어를 생성하고 코드를 난독화하여 액세스 수명을 보장한다"라고 말한다.
다른 해커가 동일한 문제를 악용하여 웹 사이트를 손상시키는 것을 방지하고 탐지를 피하기 위해 해커는 취약한 파일의 이름도 "csv.php"로 변경한다. 웹 사이트를 제어하게 되면 위협 행위자는 파일 업로드 및 코드 편집을 허용하는 추가 플러그인을 설치하는 경우가 많다.
WPScan은 관리자가 웹 사이트가 해킹되었는지 확인하는 데 도움이 되는 일련의 손상 지표를 제공한다. 관리자는 "xtw"로 시작하는 관리자 계정과 최근 캠페인에 심어진 백도어인 web.php 및 index.php라는 이름의 파일을 찾아 해커가 웹 사이트를 장악했다는 징후를 확인할 수 있다.
위반 위험을 완화하기 위해 연구원들은 WordPress 사이트 관리자에게 WP-Automatic 플러그인을 버전 3.9.2.1 이상으로 업데이트할 것을 권장한다. 또한 WPScan은 웹 사이트 소유자가 사이트의 백업을 자주 생성하여 손상이 발생할 경우 신속하게 깨끗한 복사본을 설치할 것을 권장한다.
