Hakerzy masowo exploitują krytyczną lukę bezpieczeństwa w wtyczce Gravity SMTP dla WordPressa, która pozwala na kradzież wrażliwych danych uwierzytelniających bez konieczności posiadania autoryzacji. Podatność umożliwia każdemu wysłanie prostego żądania HTTP w celu uzyskania dostępu do kluczy API, tokenów OAuth oraz szczegółowych informacji o konfiguracji systemu. Wordfence — firma zajmująca się bezpieczeństwem WordPressa, będąca własnością Defiant — poinformowała, że zablokowała już ponad 17 milionów prób exploitacji tej luki.
Uderzenie obejmuje dziesiątki tysięcy witryn opartych na WordPressie, które korzystają z Gravity SMTP do obsługi wysyłania e-maili. Ujawnione klucze API i tokeny OAuth mogą być wykorzystane do przejęcia kontroli nad powiązanymi usługami e-mailowymi i potencjalnie rozszerzenia dostępu na całą infrastrukturę strony. To typ podatności, która rozprzestrzenia się szybko, ponieważ wymaga minimalnego wysiłku ze strony atakującego — wystarczy znać adres docelowej strony.
Incydent podkreśla rosnące zagrożenie dla ekosystemu WordPressa, gdzie setki tysięcy wtyczek stronach trzecich może zawierać poważne luki bezpieczeństwa. Administratorzy stron powinni natychmiast zaktualizować wtyczkę Gravity SMTP do bezpiecznej wersji i zmienić wszystkie ujawnione klucze API oraz tokeny dostępu.