Зловмисники розгорнули масштабну автоматизовану кампанію проти сайтів на WordPress, експлуатуючи критичні дефекти у плагінах GutenKit та Hunk Companion. За даними Wordfence, лише за дві доби системи захисту заблокували 8,7 млн спроб зловживань, що вказує на інтенсивне сканування та масове використання бото-мереж.
Критичні CVE та уразливі релізи плагінів WordPress
У кампанії задіяні три уразливості рівня CVSS 9.8 — CVE-2024-9234, CVE-2024-9707 та CVE-2024-11972. Вони дають змогу виконувати віддалений код (RCE) через помилки контролю доступу у REST API, фактично обходячи автентифікацію.
CVE-2024-9234 вражає GutenKit (приблизно 40 000 активних інсталяцій): неавторизований REST-ендпоінт дозволяє встановлювати довільні плагіни без перевірки прав. Уразливі версії — 2.1.0 і нижче.
CVE-2024-9707 і CVE-2024-11972 стосуються ендпоінта themehunk-import у Hunk Companion (приблизно 8 000 інсталяцій) і так само відкривають шлях до встановлення довільних плагінів. Під ризиком версії 1.8.4 і нижче (CVE-2024-9707) та 1.8.5 і нижче (CVE-2024-11972).
Ланцюжок атаки: від REST-зловживання до захоплення адміністраторських прав
Після первинного доступу оператори кампанії завантажують із GitHub ZIP-архів із шкідливим плагіном “up”. Усередині виявлено обфусковані компоненти для завантаження/видалення файлів, зміни прав, а також модуль, який маскується під All in One SEO і забезпечує автоматичну автентифікацію зловмисника як адміністратора (захищено паролем).
Ці інструменти створюють стійку присутність: зловмисники можуть виконувати команди на сервері, підмінювати файли та перехоплювати конфіденційні дані. Коли прямий вектор через уразливий плагін блокується, додатково встановлюється wp-query-console, що надає можливість виконання коду без автентифікації.
Індикатори компрометації (IoC) для адміністраторів WordPress
Аномальні REST-запити до відомих ендпоінтів
Перевірте журнали доступу на звернення до /wp-json/gutenkit/v1/install-active-plugin та /wp-json/hc/v1/themehunk-import. Wordfence також оприлюднила перелік IP-адрес, що генерують нетипово велику кількість шкідливих запитів.
Підозрілі директорії, файли та завдання
Ознаки зараження включають каталоги /up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console, появу незнайомих PHP/ZIP-файлів, обфускований код та неочікувані cron-завдання. Виявлення таких артефактів — привід до негайної ізоляції інстансу й форензичного аналізу.
Чому атаки тривають попри наявні патчі
Патчі доступні майже рік: GutenKit 2.1.1 (жовтень 2024) та Hunk Companion 1.9.0 (грудень 2024). Проте багато сайтів працюють на застарілих релізах, формуючи «вікно уразливості» між виходом оновлення і його встановленням. За класифікацією OWASP, йдеться про комбінацію Broken Access Control та помилок конфігурації, що спрощує компрометацію в масових кампаніях.
Практичні кроки захисту від RCE через REST API
- Оновлення без зволікань: GutenKit ≥ 2.1.1, Hunk Companion ≥ 1.9.0. Видаліть невикористовувані або покинуті плагіни.
- Обмеження встановлення плагінів: де можливо, увімкніть DISALLOW_FILE_MODS у wp-config.php, перевіряйте рольові політики.
- WAF і сигнатури: активуйте веб-екран, оновлюйте правила блокування та сигнатури загроз.
- Моніторинг і контроль цілісності: сканування на шкідливий код, порівняння хешів, аудит користувачів і прав, ротація паролів та SALT-ключів.
- Ізоляція інцидентів: вилучіть інфіковані інстанси з мережі, проведіть форензику, перевипустіть облікові дані адміністратора.
Масові експлойти REST-ендпоінтів доводять, що затримка з оновленнями — найкоротший шлях до повного захоплення сайту. Зменшіть «вікно уразливості»: впровадьте регулярні оновлення, WAF, моніторинг логів і контроль небезпечних функцій. Перевірте свої інсталяції WordPress вже зараз, аби не поповнити наступну статистику Wordfence.
