CVE-2023-4634-Erkennung: Unauthentifizierte RCE-Schwachstelle im WordPress Media Library Assistant Plugin

Sicherheitsforscher haben eine ernste Warnung vor einer kritischen Schwachstelle, bezeichnet als CVE-2023-4634, ausgegeben, die eine alarmierende Anzahl von über 70.000 WordPress-Seiten weltweit betrifft. Diese Schwachstelle geht auf ein Sicherheitsproblem im WordPress Media Library Assistant Plugin zurück, einem äußerst beliebten und weit verbreiteten Plugin innerhalb der WordPress-Community. Da diese Schwachstelle bereits aktiv ausgenutzt wird und ein Proof-of-Concept-Exploit leicht verfügbar ist, wird das Risiko, dass sich die Angriffe intensivieren und weiter im WordPress-Ökosystem verbreiten, umso besorgniserregender. 

Erkennung von CVE-2023-463 Ausnutzungsversuchen

Proaktive Erkennung von Schwachstellenausnutzung bleibt eine der wichtigsten Sicherheitsanwendungen aufgrund der ständig steigenden Anzahl an CVEs, die weit verbreitete Software betreffen und ernsthafte Herausforderungen für Unternehmen darstellen, die diese Produkte nutzen, und Aufmerksamkeit seitens der Verteidiger erfordern. Der neu entdeckte WordPress-Sicherheitsfehler, der als CVE-2023-4634 verfolgt wird, rückt mit dem auf GitHub öffentlich verfügbaren PoC-Exploit ins Rampenlicht. SOC Prime bietet Verteidigern die schnellsten Sicherheitsnachrichten und ermöglicht fortschrittlichen Organisationen mit den neuesten Erkennungsinhalten, jegliche Angriffsspuren rechtzeitig zu identifizieren. 

Um Sicherheitsteams zu helfen, CVE-2023-4634-Ausnutzungsversuche proaktiv zu erkennen, hat die SOC Prime Platform kürzlich eine neue Sigma-Regel als Reaktion auf die eskalierenden Bedrohungen, die WordPress-Nutzer betreffen, veröffentlicht. Folgen Sie dem untenstehenden Link, um die von unserem engagierten Threat Bounty-Entwickler geschriebene Sigma-Regel zu erreichen. Mustafa Gurkan KARAKAYA:

Potentielles unautentifiziertes Remote Code Execution [CVE-2023-4634] Schwachstellenausnutzungsversuch auf WordPress Media Library Assistant (über Webserver)

Diese Sigma-Regel erkennt mögliche unautentifizierte RCE-Ausnutzung auf WordPress Media Library Assistant durch das Senden einer schädlichen Nutzlast. Der Erkennungscode kann sofort in 18 SIEM-, EDR-, XDR- und Data Lake-Technologien konvertiert werden und ist abgestimmt auf den MITRE ATT&CK®  Rahmen, der die Initial Access-Taktik und die Exploit Public-Facing Application-Technik (T1190) aus seinem Arsenal adressiert. 

Ambitionierte Detection Engineers können ihre Sigma- und ATT&CK-Fertigkeiten schärfen, indem sie am Crowdsourced Threat Bounty Programteilnehmen. Trainieren Sie Ihre Erkennungscodierungsfähigkeiten, um in einer Ingenieurkarriere voranzukommen, während Sie das kollektive Branchenwissen bereichern und finanzielle Belohnungen für Ihren Beitrag erhalten. 

Um die gesamte Sammlung von Sigma-Regeln zur CVE-Erkennung zu durchsuchen und in relevante Bedrohungsinformationen einzutauchen, klicken Sie auf die Erkennung durchsuchen Schaltfläche unten.

Erkennung durchsuchen

CVE-2023-463 Analyse

Angesichts der weit verbreiteten Popularität von WordPress als Content-Management-System (CMS), auf das weltweit Millionen von Websites angewiesen sind, stellen Schwachstellen wie die im Media Library Assistant Plugin ein erhebliches Risiko für Organisationen weltweit dar. Angreifer könnten kompromittierte WordPress-Websites als Einstiegspunkt in das organisatorische Netzwerk nutzen, um mit anderen bösartigen Aktivitäten fortzufahren oder die betroffene Seite als Sprungbrett für Malware-Verteilung und Phishing-Angriffe einzusetzen.

Die im Rampenlicht stehende Schwachstelle ist ein unautentifiziertes Remote Code Execution (RCE) Problem, das auf unzureichenden Kontrollen von Dateipfaden während der Bildverarbeitung über Imagick beruht. Sie ermöglicht es Gegnern, Dateien über FTP bereitzustellen, was zu lokaler Datei-Einbindung und Remote Code Execution führt. Unter diesen Bedingungen könnte ein Angreifer potenziell jede ungepatchte WordPress-Site übernehmen.

Die Schwachstelle betrifft Versionen des Media Library Assistant Plugins vor 3.10 und erfordert einen Server mit installierten Imagick-Bibliotheken, um ausgenutzt zu werden. Für einen erfolgreichen Angriff sollte Imagick auf Standardkonfigurationen beruhen. Website-Administratoren werden dringend aufgefordert, das Sicherheitsupdate so schnell wie möglich über das WordPress-Dashboard zu installieren.

Die Problematik wurde von Sicherheitsexperten von Patrowl entdeckt, die bereits einen Bericht veröffentlicht haben, der das Sicherheitsproblem beschreibt zusammen mit PoC um ein Verständnis der Risikoniveaus zu bieten.

Mit den wachsenden Mengen an CVEs, die aktiv in freier Wildbahn ausgenutzt werden, ist eine proaktive Erkennung von Ausnutzungsversuchen für Organisationen, die ihre Cyber-Resilienz stärken wollen, von entscheidender Bedeutung. SOC Prime rüstet Sicherheitsteams mit Uncoder AI, einer einzigen IDE für Detection Engineering aus, die es ihnen ermöglicht, fehlerfreien Erkennungscode mit weniger Aufwand zu schreiben und ihn automatisch in 64 Abfragesprachen zu übersetzen — mit einem All-in-One-Produkt, das vollständige Privatsphäre gewährleistet.