CVE-2024-9707 · CVE-2024-11972 · PLUGIN-INSTALL → RCE
Hunk Companion exploit cleanup.
Eine Autorisierungs-Schwachstelle in Hunk Companion ließ unauthentifizierte Angreifer Plugins aus dem WordPress.org-Repo installieren. Kombiniert mit dem ungepatchten WP Query Console ergibt das volle RCE. Heftige Ausnutzung Ende 2024. Pauschal $279 für die Bereinigung. Wir identifizieren Persistenz, entfernen das Second-Stage-Plugin und härten ab.
WAS DIE KETTE WAR
Ein Bug, um ein Plugin zu installieren. Ein weiterer Bug im installierten Plugin.
Stufe 1. Hunk Companion exponierte eine REST-Route, die Plugins ohne Autorisierungsprüfung installierte. Betroffene Versionen vor 1.9.0; dasselbe Problem im Bereich 1.8.5–1.8.6 wiederentdeckt, was zu zwei CVE-IDs (CVE-2024-9707 und CVE-2024-11972) führte.
Stufe 2. Angreifer nutzten Stufe 1, um WP Query Console zu installieren — ein lange aufgegebenes Plugin mit unauthentifizierter RCE (CVE-2024-50498), die nie gepatcht werden würde, weil das Plugin keinen Maintainer hat. Mit installiertem WP Query Console folgte volle Remote Code Execution.
INDIKATOREN
Was wir damit tun
PLUGIN VORHANDEN
wp-content/plugins/wp-query-console/ — selbst ein leerer Ordner ist ein Treffer-Indikator. Prüfe, ob es in wp_options.active_plugins aktiv war.
ZUGRIFFSLOG
POSTs an /wp-json/hc/v1/themehunk-import (Hunk-Companion-Install-Endpoint) von externen IPs zwischen Oktober und Dezember 2024.
ADMIN-NUTZER
Administratoren, die nach Stufe-2-RCE angelegt wurden — oft mit generischen Namen, manchmal bereits mit 2FA-Secret, um den legitimen Eigentümer auszusperren.
DATEIEN
Frisches PHP in Uploads, modifizierte Core- oder Theme-PHP-Dateien, neue mu-plugins.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.