Οι χάκερ εκμεταλλεύονται μαζικά μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, CVE-2021-25094, στην προσθήκη Tatsu Builder για WordPress, η οποία είναι εγκατεστημένη σε περίπου 100.000 ιστότοπους.
Έως και 50.000 ιστότοποι εκτιμάται ότι εξακολουθούν να εκτελούν μια ευάλωτη έκδοση της προσθήκης, αν και μια ενημέρωση κώδικα είναι διαθέσιμη από τις αρχές Απριλίου.
Τα μεγάλα κύματα επίθεσης ξεκίνησαν στις 10 Μαΐου 2022 και κορυφώθηκαν τέσσερις ημέρες αργότερα. Αυτή τη στιγμή η εκμετάλλευση βρίσκεται σε εξέλιξη.
Το Tatsu Builder είναι μια δημοφιλής προσθήκη που προσφέρει ισχυρές δυνατότητες επεξεργασίας προτύπων ενσωματωμένες απευθείας στο πρόγραμμα περιήγησης ιστού.
Η στοχευμένη ευπάθεια είναι CVE-2021-25094, επιτρέπει σε έναν απομακρυσμένο εισβολέα να εκτελεί αυθαίρετο κώδικα στους διακομιστές με μια παλιά έκδοση της προσθήκης (όλες οι εκδόσεις πριν από την 3.3.12).
Το ελάττωμα ανακαλύφθηκε από τον ανεξάρτητο ερευνητή Vincent Michel, ο οποίος το αποκάλυψε δημόσια στις 28 Μαρτίου 2022, μαζί με τον απόδειξης έννοιας κώδικα εκμετάλλευσης
Ο προμηθευτής κυκλοφόρησε μια ενημέρωση κώδικα στην έκδοση 3.3.13 και ειδοποίησε τους χρήστες μέσω email στις 7 Απριλίου 2022, προτρέποντάς τους να εφαρμόσουν την ενημέρωση.
Η Wordfence, μια εταιρεία που προσφέρει μια λύση ασφαλείας για πρόσθετα WordPress, παρακολουθεί τις τρέχουσες επιθέσεις. Οι ερευνητές εκτιμούν ότι υπάρχουν μεταξύ 20.000 και 50.000 ιστοσελίδες που τρέχουν μια ευάλωτη έκδοση του Tatsu Builder.
