Detecção de CVE-2023-4634: Vulnerabilidade de RCE Não Autenticada no Plugin WordPress Media Library Assistant
Índice:
Pesquisadores de segurança emitiram um alerta severo sobre uma vulnerabilidade crítica, designada como CVE-2023-4634, que está afetando um número alarmante de mais de 70.000 sites WordPress globalmente. Essa vulnerabilidade origina-se de uma falha de segurança no plugin WordPress Media Library Assistant, um plugin extremamente popular e amplamente usado dentro da comunidade WordPress. Com essa vulnerabilidade já sendo explorada em campo e a pronta disponibilidade de um exploit de prova de conceito, o risco de ataques se intensificar e se espalhar ainda mais por todo o ecossistema WordPress torna-se ainda mais preocupante.
Detectar Tentativas de Exploração CVE-2023-463
Detecção proativa da exploração de vulnerabilidades permanece como um dos principais casos de uso de segurança devido ao número crescente de CVEs que impactam softwares populares, o que representa desafios severos para as organizações que usam esses produtos e requer atenção dos defensores. O novo bug de segurança do WordPress rastreado como CVE-2023-4634 está ganhando destaque com o exploit PoC publicamente disponível no GitHub. O SOC Prime fornece aos defensores o feed mais rápido de notícias de segurança e capacita organizações progressivas com o conteúdo de detecção mais recente para identificar pontualmente quaisquer vestígios de ataque.
Para ajudar as equipes de segurança a detectar proativamente tentativas de exploração CVE-2023-4634, a Plataforma SOC Prime lançou recentemente uma nova regra Sigma em resposta às crescentes ameaças que afetam os usuários do WordPress. Siga o link abaixo para acessar a regra Sigma dedicada escrita pelo nosso atento desenvolvedor Threat Bounty Mustafa Gurkan KARAKAYA:
Esta regra Sigma detecta possível exploração RCE não autenticada no WordPress Media Library Assistant ao enviar uma carga maliciosa. O código de detecção pode ser instantaneamente convertido para 18 tecnologias de SIEM, EDR, XDR e Data Lake e está alinhado com o MITRE ATT&CK® framework abordando a tática de Acesso Inicial e a técnica de Explorar Aplicação de Frente Pública (T1190) do seu arsenal.
Engenheiros de Detecção Aspirantes podem aprimorar suas habilidades em Sigma e ATT&CK participando do Programa de Ameaça Bounty. Treine suas habilidades de codificação de detecção para avançar em uma carreira de engenharia enquanto enriquece a expertise coletiva da indústria e ganha recompensas financeiras por sua contribuição.
Para explorar toda a coleção de regras Sigma para detecção de CVE e mergulhar na inteligência relevante de ameaças, clique no Explorar Detecções botão abaixo.
Análise CVE-2023-463
Dada a ampla popularidade do WordPress como um sistema de gerenciamento de conteúdo (CMS), com milhões de websites que dependem dele em todo o mundo, vulnerabilidades como as do plugin Media Library Assistant representam um risco significativo para organizações em todo o mundo. Os atacantes podem usar websites WordPress comprometidos como um ponto de entrada para a rede organizacional, prosseguindo com outras atividades maliciosas ou usar o site afetado como uma base de lançamento para distribuição de malware e ataques de phishing.
A vulnerabilidade em destaque é um problema de execução remota de código (RCE) não autenticado originado de controles insuficientes nos caminhos de arquivo que ocorrem durante o processamento de imagens via Imagick. Ele permite que adversários forneçam arquivos via FTP, levando à inclusão de arquivos locais e execução remota de código. Sob essas condições, um atacante poderia potencialmente assumir qualquer site WordPress não corrigido.
A vulnerabilidade afeta as versões do plugin Media Library Assistant anteriores à 3.10 e requer um servidor com bibliotecas Imagick instaladas para ser explorada. Para um ataque bem-sucedido, o Imagick deve depender das configurações padrão. É recomendado que os administradores de websites instalem o patch de segurança através do painel do WordPress o mais rápido possível.
A questão foi descoberta por especialistas em segurança da Patrowl, que já lançaram um relatório descrevendo a falha de segurança juntamente com PoC para fornecer uma compreensão dos níveis de risco.
Com o crescente volume de CVEs explorados ativamente no campo, a detecção proativa de tentativas de exploração é crítica para as organizações que buscam aumentar sua resiliência cibernética. O SOC Prime equipa as equipes de segurança com Uncoder AI, um IDE único para Engenharia de Detecção que lhes permite escrever código de detecção impecável com menos esforço e traduzi-lo automaticamente para 64 linguagens de consulta — usando um produto tudo-em-um que garante completa privacidade.
