threatover Patrik Grobshäuser

CVE-2024-10924 · Auth bypass · 4M sites

Really Simple Security cleanup.

Bypass de autenticación en Really Simple Security (CVE-2024-10924). 4M de sitios. Limpieza manual. Tarifa plana $279.

What the bug was

Bypass de autenticación vía el endpoint REST de 2FA.

Really Simple Security exponía una ruta REST utilizada para completar su flujo de login con doble factor. El handler aceptaba un user_id desde la petición y autenticaba al llamante como ese usuario sin verificar que hubiera superado el primer factor. Un atacante no autenticado podía pedir user_id=1 y quedar logueado como el administrador del sitio.

Versiones afectadas: 9.0.0 a 9.1.1.1. Parcheado en 9.1.2. La ruta de código vulnerable estaba activa cuando la funcionalidad 2FA del plugin estaba habilitada — pero la versión parcheada se distribuyó como auto-actualización forzada, y la divulgación fue pública, así que la actividad de ataque empezó de inmediato.

Indicators I look for

Dónde dejan huellas los atacantes tras un login exitoso.

  • Usuarios

    Cuentas de administrador creadas en la ventana de divulgación (después del 2024-11-12). Comprueba wp_users.user_registered contra tus registros.

  • Files

    PHP modificado recientemente en wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/, y cualquier PHP en wp-content/uploads/.

  • Options

    Filas autoload de wp_options añadidas desde la divulgación; valores sospechosos codificados en base64; entradas active_plugins fraudulentas.

  • Access log

    POSTs a /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (y rutas relacionadas). Muchas peticiones con estado 200 desde un pequeño conjunto de IPs.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.