threatover Patrik Grobshäuser

CVE-2024-9707 · CVE-2024-11972 · PLUGIN-INSTALL → RCE

Hunk Companion exploit cleanup.

Eine Autorisierungs-Schwachstelle in Hunk Companion ließ unauthentifizierte Angreifer Plugins aus dem WordPress.org-Repo installieren. Kombiniert mit dem ungepatchten WP Query Console ergibt das volle RCE. Heftige Ausnutzung Ende 2024. Pauschal $279 für die Bereinigung. Wir identifizieren Persistenz, entfernen das Second-Stage-Plugin und härten ab.

WAS DIE KETTE WAR

Ein Bug, um ein Plugin zu installieren. Ein weiterer Bug im installierten Plugin.

Stufe 1. Hunk Companion exponierte eine REST-Route, die Plugins ohne Autorisierungsprüfung installierte. Betroffene Versionen vor 1.9.0; dasselbe Problem im Bereich 1.8.5–1.8.6 wiederentdeckt, was zu zwei CVE-IDs (CVE-2024-9707 und CVE-2024-11972) führte.

Stufe 2. Angreifer nutzten Stufe 1, um WP Query Console zu installieren — ein lange aufgegebenes Plugin mit unauthentifizierter RCE (CVE-2024-50498), die nie gepatcht werden würde, weil das Plugin keinen Maintainer hat. Mit installiertem WP Query Console folgte volle Remote Code Execution.

INDIKATOREN

Was wir damit tun

  • PLUGIN VORHANDEN

    wp-content/plugins/wp-query-console/ — selbst ein leerer Ordner ist ein Treffer-Indikator. Prüfe, ob es in wp_options.active_plugins aktiv war.

  • ZUGRIFFSLOG

    POSTs an /wp-json/hc/v1/themehunk-import (Hunk-Companion-Install-Endpoint) von externen IPs zwischen Oktober und Dezember 2024.

  • ADMIN-NUTZER

    Administratoren, die nach Stufe-2-RCE angelegt wurden — oft mit generischen Namen, manchmal bereits mit 2FA-Secret, um den legitimen Eigentümer auszusperren.

  • DATEIEN

    Frisches PHP in Uploads, modifizierte Core- oder Theme-PHP-Dateien, neue mu-plugins.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.