CVE-2024-10924 · Auth bypass · 4M sites
Really Simple Security cleanup.
Auth-Bypass in Really Simple Security (CVE-2024-10924) — 4 Mio. Seiten betroffen. Wir bereinigen manuell. Festpreis $279.
What the bug was
Authentifizierungs-Bypass über den 2FA-REST-Endpoint.
Really Simple Security exponierte eine REST-Route, die den Zwei-Faktor-Login-Flow abschließt. Der Handler akzeptierte eine user_id aus dem Request und authentifizierte den Aufrufer als diesen Nutzer, ohne zu prüfen, ob der erste Faktor erfolgreich war. Ein unauthentifizierter Angreifer konnte user_id=1 anfragen und war als Seiten-Administrator eingeloggt.
Betroffene Versionen: 9.0.0 bis 9.1.1.1. Gepatcht in 9.1.2. Der verwundbare Code-Pfad war aktiv, wenn das 2FA-Feature des Plugins aktiviert war — der Patch wurde als erzwungenes Auto-Update ausgerollt, und die Offenlegung war öffentlich, sodass Angriffsaktivität sofort einsetzte.
Indicators I look for
Wo Angreifer nach erfolgreichem Login Spuren hinterlassen.
Nutzer
Administrator-Konten, die im Offenlegungs-Zeitfenster (nach 2024-11-12) angelegt wurden. wp_users.user_registered mit deinen Aufzeichnungen abgleichen.
Files
Kürzlich modifiziertes PHP in wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/ und jedes PHP in wp-content/uploads/.
Options
Seit der Offenlegung hinzugekommene wp_options-autoload-Zeilen; verdächtige base64-codierte Werte; unerwartete active_plugins-Einträge.
Access log
POSTs an /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (und verwandte Routen). Viele Requests mit Status 200 aus einer kleinen Gruppe von IPs.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.