threatover Patrik Grobshäuser

CVE-2024-10924 · Auth bypass · 4M sites

Really Simple Security cleanup.

Auth-Bypass in Really Simple Security (CVE-2024-10924) — 4 Mio. Seiten betroffen. Wir bereinigen manuell. Festpreis $279.

What the bug was

Authentifizierungs-Bypass über den 2FA-REST-Endpoint.

Really Simple Security exponierte eine REST-Route, die den Zwei-Faktor-Login-Flow abschließt. Der Handler akzeptierte eine user_id aus dem Request und authentifizierte den Aufrufer als diesen Nutzer, ohne zu prüfen, ob der erste Faktor erfolgreich war. Ein unauthentifizierter Angreifer konnte user_id=1 anfragen und war als Seiten-Administrator eingeloggt.

Betroffene Versionen: 9.0.0 bis 9.1.1.1. Gepatcht in 9.1.2. Der verwundbare Code-Pfad war aktiv, wenn das 2FA-Feature des Plugins aktiviert war — der Patch wurde als erzwungenes Auto-Update ausgerollt, und die Offenlegung war öffentlich, sodass Angriffsaktivität sofort einsetzte.

Indicators I look for

Wo Angreifer nach erfolgreichem Login Spuren hinterlassen.

  • Nutzer

    Administrator-Konten, die im Offenlegungs-Zeitfenster (nach 2024-11-12) angelegt wurden. wp_users.user_registered mit deinen Aufzeichnungen abgleichen.

  • Files

    Kürzlich modifiziertes PHP in wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/ und jedes PHP in wp-content/uploads/.

  • Options

    Seit der Offenlegung hinzugekommene wp_options-autoload-Zeilen; verdächtige base64-codierte Werte; unerwartete active_plugins-Einträge.

  • Access log

    POSTs an /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (und verwandte Routen). Viele Requests mit Status 200 aus einer kleinen Gruppe von IPs.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.