تستهدف حملة استغلال واسعة النطاق مواقع WordPress التي تحتوي على مكونات GutenKit وHunk Companion الإضافية المعرضة لمشكلات أمنية قديمة خطيرة يمكن استخدامها لتحقيق تنفيذ التعليمات البرمجية عن بعد (RCE).
شركة أمن ووردبريس”https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/” الهدف=”_blank” rel=”nofollow noopener”> يقول وردفينسأنها منعت 8.7 مليون محاولة هجوم ضد عملائها في يومين فقط، 8 و9 أكتوبر.
تستعرض الحملة ثلاثة عيوب، تم تتبعها بـ CVE-2024-9234، وCVE-2024-9707، وCVE-2024-11972، وجميعها مصنفة على أنها حرجة (CVSS 9.8).
CVE-2024-9234 هو عيب REST-endpoint غير مصادق عليه في البرنامج الإضافي GutenKit مع 40.000 عملية تثبيت تسمح بتثبيت مكونات إضافية عشوائية دون مصادقة.
CVE-2024-9707 و”https://www.cve.org/CVERecord?id=CVE-2024-11972″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-11972 هناك ثغرات أمنية مفقودة في التفويض في نقطة نهاية REST لاستيراد السمات الخاصة بالمكون الإضافي Hunk Companion (8000 عملية تثبيت) والتي يمكن أن تؤدي أيضًا إلى تثبيت مكونات إضافية عشوائية.
يمكن للمهاجم المعتمد الاستفادة من الثغرات الأمنية لتقديم مكون إضافي ضعيف آخر يسمح بتنفيذ التعليمات البرمجية عن بعد.
- يؤثر CVE-2024-9234 على GutenKit 2.1.0 والإصدارات الأقدم
- يؤثر CVE-2024-9707 على Hunk Companion 1.8.4 والإصدارات الأقدم
- يؤثر CVE-2024-11972 على Hunk Companion 1.8.5 والإصدارات السابقة
أصبحت إصلاحات الثغرات الثلاث متاحة في Gutenkit 2.1.1، الذي تم إصداره في أكتوبر 2024، وHunk Companion 1.9.0، الذي تم إصداره في ديسمبر 2024. ومع ذلك، على الرغم من قيام البائع بإصلاحها منذ عام تقريبًا، تستمر العديد من مواقع الويب في استخدام الإصدارات الضعيفة.
المصدر: وردفينس
تشير ملاحظات Wordfence المستندة إلى بيانات الهجوم إلى أن الباحثين يقولون إن الجهات الفاعلة في مجال التهديد تستضيف على GitHub مكونًا إضافيًا ضارًا في أرشيف ZIP يسمى “up”.
يحتوي الأرشيف على نصوص برمجية مبهمة تسمح بتحميل الملفات وتنزيلها وحذفها وتغيير الأذونات. يتم استخدام أحد البرامج النصية المحمية بكلمة مرور، والمتخفية كأحد مكونات المكون الإضافي All in One SEO، لتسجيل دخول المهاجم تلقائيًا كمسؤول.
يستخدم المهاجمون هذه الأدوات للحفاظ على الثبات، أو سرقة الملفات أو إسقاطها، أو تنفيذ الأوامر، أو التعرف على البيانات الخاصة التي يتعامل معها الموقع.
عندما لا يتمكن المهاجمون من الوصول مباشرة إلى باب خلفي كامل للمسؤول عبر الحزمة المثبتة، فإنهم غالبًا ما يقومون بتثبيت المكون الإضافي الضعيف “wp-query-console” الذي يمكن الاستفادة منه في RCE غير المصادق عليه.
قام Wordfence بإدراج العديد من عناوين IP التي توجه أعدادًا كبيرة من هذه الطلبات الضارة، والتي يمكن أن تساعد في إنشاء دفاعات ضد هذه الهجمات.
كمؤشر على التسوية، يقول الباحثون أنه يجب على المسؤولين البحث عنها/wp-json/gutenkit/v1/install-active-plugin و /wp-json/hc/v1/themehunk-import الطلبات في سجلات الوصول إلى الموقع.
يجب عليهم أيضًا التحقق من الدلائل/أعلى, /background-image-cropper, /ultra-seo-processor-wp, /حسنا، و /wp-query-console، لأية إدخالات مارقة.
يوصى المسؤول بإبقاء جميع المكونات الإضافية على مواقعه الإلكترونية محدثة إلى أحدث إصدار متاح من البائع.