해커들은 WordPress.org 저장소에서 직접 악용 가능한 결함이 있는 다른 플러그인을 설치하고 활성화하기 위해 “Hunk Companion” 플러그인의 심각한 취약점을 악용하고 있습니다.
알려진 취약점과 사용 가능한 익스플로잇이 있는 오래된 플러그인을 설치함으로써 공격자는 RCE(원격 코드 실행), SQL 삽입, XSS(교차 사이트 스크립팅) 결함으로 이어지는 대규모 결함 풀에 액세스하거나 백도어 관리자 계정을 생성할 수 있습니다.
이 활동은 어제 발표된 제로데이 결함을 해결하는 보안 업데이트와 함께 Hunk Companion에 보고된 WPScan에 의해 발견되었습니다.
취약한 플러그인 설치
Hunk Companion은 사용자 정의 가능한 WordPress 테마 제공업체인 ThemeHunk에서 개발한 테마의 기능을 보완하고 향상하도록 설계된 WordPress 플러그인이므로 독립 실행형 플러그인이라기보다는 추가 기능에 가깝습니다.
WordPress.org 통계에 따르면 Hunk Companion은 현재 10,000개가 넘는 WordPress 사이트에서 사용되고 있으므로 해당 분야에서는 상대적으로 틈새 도구입니다.
이 치명적인 취약점은 WPScan 연구원 Daniel Rodriguez에 의해 발견되었으며 다음과 같이 추적됩니다. CVE-2024-11972. 이 결함으로 인해 인증되지 않은 POST 요청을 통해 플러그인을 임의로 설치할 수 있습니다.
이 문제는 문제를 해결한 어제 출시된 최신 1.9.0 이전 버전의 Hunk Companion에 영향을 미칩니다.
WordPress 사이트 감염을 조사하는 동안 WPScan은 취약한 버전의 설치를 위해 CVE-2024-11972를 적극적으로 악용하는 것을 발견했습니다. WP 쿼리 콘솔.
이 플러그인은 7년 전에 마지막으로 업데이트된 알려지지 않은 플러그인으로, 해커는 제로데이 RCE 결함을 활용하여 대상 사이트에서 악성 PHP 코드를 실행하는 데 악용했습니다. CVE-2024-50498.
“우리가 분석한 감염에서 공격자는 RCE를 사용하여 사이트의 루트 디렉터리에 PHP 드로퍼를 작성했습니다.” WPScan을 설명합니다.
“이 드로퍼는 GET 요청을 통해 인증되지 않은 업로드를 계속 허용하여 사이트에 대한 지속적인 백도어 액세스를 가능하게 합니다.”
Hunk Companion이 버전 1.8.5에서 유사한 결함을 수정했다는 점은 주목할 가치가 있습니다. CVE-2024-9707그러나 분명히 패치가 적절하지 않았으며 이를 우회할 수 있는 방법이 존재합니다.
결함의 심각도와 활성 악용 상태를 고려하여 Hunk Companion 사용자는 가능한 한 빨리 1.9.0으로 업데이트하는 것이 좋습니다.
글을 쓰는 시점에서 최신 버전은 다음과 같습니다. 약 1,800회 다운로드됨따라서 최소 8천 개의 웹사이트가 악용에 취약한 상태로 남아 있습니다.