Bereits einen Tag nach der Veröffentlichung des PoC, also am 6. Mai 2023, begannen Cyberkriminelle das Netz aktiv nach verwundbaren Wordpress-Webseiten zu durchsuchen, auf denen das Sicherheitsupdate von Advanced Custom Fields (Version 6.1.6) noch nicht eingespielt wurde. Dafür nutzen die Hacker exakt den Beispielcode, den Patchstack in seinem PoC veröffentlicht hatte, wie Sicherheitsforscher der Akamai Security Intelligence Group (SIG) beobachteten.
In Anbetracht der Tatsache, dass offenbar noch rund 1,4 Millionen Webseiten ungepatcht sind, wie eine statistische Auswertung von Wordpress ergab, gibt es für die Cyberkriminellen ein breites Betätigungsfeld. Da verwundert es nicht, dass bereits 24 Stunden nach Veröffentlichung der Sicherheitslücke versucht wurde, sie aktiv auszunutzen. Zwar erfordert ein Angriff auf die XSS-Schwachstelle die Beteiligung eines eingeloggten Nutzers mit Zugriff auf das Plugin, doch die Kriminellen scheinen davon überzeugt zu sein, dass sie diese Hürde mittels Social Engineering und Phishing überwinden können. Gelingt ihnen das, können die Angreifer Schadcode ausführen, der ihnen hochprivilegierten Zugriff auf die Website gewährt. Darüber hinaus funktioniert CVE-2023-30777 unter den Standard-Einstellungen des Plugins, wodurch die Chancen, entsprechend angreifbare Webseiten zu finden, deutlich höher sind.
Webseitenbetreiber, die Wordpress Advanced Custom Fields nutzen, sollten angesichts dieser Bedrohung schnellstmöglich prüfen, ob das entsprechende Update (Version 6.1.6) bereits eingespielt und die Sicherheitslücke damit geschlossen wurde. Ist das noch nicht geschehen, sollte das schnellstmöglich nachgeholt werden. Andernfalls könnte es schon bald eine unliebsame Überraschung geben.