threatover Patrik Grobshäuser

CVE-2024-10924 · Auth bypass · 4M sites

Really Simple Security cleanup.

Contournement d'auth dans Really Simple Security (CVE-2024-10924). 4 M de sites. Nettoyage manuel. Forfait $279.

What the bug was

Contournement d'authentification via l'endpoint REST 2FA.

Really Simple Security exposait une route REST utilisée pour finaliser son flux de connexion à deux facteurs. Le handler acceptait un user_id depuis la requête et authentifiait l'appelant en tant que cet utilisateur sans vérifier que l'appelant avait passé le premier facteur. Un attaquant non authentifié pouvait demander user_id=1 et être connecté en tant qu'administrateur du site.

Versions affectées : 9.0.0 à 9.1.1.1. Patchée en 9.1.2. Le chemin de code vulnérable était actif lorsque la fonction 2FA du plugin était activée — mais la release patchée a été poussée en mise à jour automatique forcée, et la divulgation était publique, donc l'activité d'attaque a commencé immédiatement.

Indicators I look for

Où les attaquants laissent des traces après une connexion réussie.

  • Utilisateurs

    Comptes administrateur créés dans la fenêtre de divulgation (après 2024-11-12). Vérifiez wp_users.user_registered par rapport à vos archives.

  • Files

    PHP récemment modifié dans wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/, et tout PHP dans wp-content/uploads/.

  • Options

    Lignes autoload de wp_options ajoutées depuis la divulgation ; valeurs encodées en base64 suspectes ; entrées active_plugins frauduleuses.

  • Access log

    Requêtes POST vers /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (et routes associées). Nombreuses requêtes avec statut 200 depuis un petit ensemble d'IP.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.