黑客正在利用多个WordPress插件的0day漏洞对网站发起攻击
到目前为止,WordPress 是互联网上使用最广泛的网站构建技术。根据最新统计数据,所有互联网网站中超过 35% 的网站运行 WordPress CMS(内容管理系统)版本。
由于安装数量众多,WordPress 是一个巨大的攻击面。与去年相比在过去的几个月中,尝试攻击 WordPress 的黑客一直处于较低水平。造成这种停机的原因可能是冬季假期,正如我们在前几年所看到的那样,这通常会导致恶意软件和黑客活动在全球范围内放缓,因为黑客也会休息一下。
在过去的两周中,我们发现针对 WordPress 网站的攻击有所复苏,这标志着 12 月和 1 月相对平静的时期已经结束。
Wordfence、WebARX 和 NinTechNet 等几家专门研究 WordPress 安全产品的网络安全公司报告说,对 WordPress 网站的攻击越来越多。上个月发现的所有新攻击都集中在利用 WordPress 插件中的错误,而不是利用 WordPress 本身。
许多攻击都针对最近修补的插件漏洞,黑客希望在站点管理员安装补丁之前劫持网站。一些攻击利用了 0 day 漏洞,攻击过程也更加复杂。
以下是 2 月份发生的一些 WordPress 攻击活动的摘要,这些活动针对 WordPress 插件漏洞。
建议网站管理员更新以下列出的所有 WordPress 插件,因为它们很可能在整个 2020 年甚至更长时间内都将被利用。
Duplicator
根据 Wordfence 的一份报告,自 2 月中旬以来,黑客利用了 Duplicator 中的一个漏洞,该插件允许站点管理员导出其站点的内容。
该漏洞在 1.3.28 中修复,攻击者可以从中导出站点副本,从中提取数据库凭据,然后劫持 WordPress 站点的底层 MySQL 服务器。更糟糕的是,Duplicator 是 WordPress 门户网站上最流行的插件之一,大约在 2 月 10 日,在攻击开始时安装了 100 多万个。这个插件的商业版本 Duplicator Pro,有 170000 个站点安装,也受到了影响。
Profile Builder
Profile Builder 插件的免费和专业版本中还有另一个重要的 bug。该漏洞允许黑客在 WordPress 网站注册未经授权的管理员帐户。该漏洞于 2 月 10 日修补,但攻击始于 2 月 24 日,即 POC 代码在网上发布的同一天。据报道,至少有两个黑客组织正在利用这个漏洞。
超过 65000 个站点(50000 个使用免费版本,15000 个使用商业版本)易受攻击,除非他们将插件更新到最新版本。
ThemeGrill Demo Importer
据信,利用上述插件的同两个黑客组织还将目标锁定在 ThemeGrill 演示导入程序中的一个 bug 上,ThemeGrill 是一家商业 WordPress 主题供应商,该插件附带ThemeGrill出售的主题。
这个插件安装在超过 200000 个站点上,这个 bug 允许用户删除运行易受攻击版本的站点,如果满足某些条件,接管“admin”帐户。
攻击,已经被 Wordfence、WebARX 和 Twitter 上的独立研究人员证实。POC 代码也可以在线获得。建议用户尽快更新到 v1.6.3。
ThemeREX Addons
还发现针对 ThemeREX Addons 的攻击,该插件是预装所有 ThemeREX 商业主题的 WordPress 插件。
根据 Wordfence 的报告,攻击始于 2 月 18 日,当时黑客在插件中发现了一个零日漏洞,并开始利用该漏洞在易受攻击的网站上创建恶意管理员帐户。
尽管攻击仍在进行中,但始终没有提供修补程序,建议站点管理员尽快从其站点中删除该插件。
Flexible Checkout Fields for WooCommerce
攻击还针对运行 WooCommerce 插件的“灵活结帐字段”插件的网站,该插件安装在 20,000 多个基于 WordPress 的电子商务网站上。
黑客使用了一个(现在已修补)的零日漏洞来注入 XSS 攻击,该攻击可以在已登录管理员的仪表板中触发。XSS 有效加载使黑客能够在易受攻击的站点上创建管理员帐户。
Async JavaScript
10Web Map Builder for Google Maps
Modern Events Calendar Lite
在Async JavaScript、10Web Map Builder for Google Maps和Modern Events Calendar Lite这三个插件中也发现了三个类似的 0 day 漏洞。这些插件分别用于100000、20000 和 40000 个站点。
这三个 0day 漏洞都是像上面描述的那样存储的XSS错误。这三个插件都已经发布了修补补丁,但是攻击在补丁发布之前就开始了,这意味着一些站点很可能受到了攻击。
来源:ZDNet
相关文章:
- IOTA加密货币在钱包漏洞被利用后关闭整个网络
- X86 CPU漏洞绝大多数都是Intel自己搞定
- 黑客正在利用多个WordPress插件的0day漏洞对网站发起攻击
- 本月底 85 万个仍使用 TLS 1.0/1.1 的 HTTPS网站将被新浏览器禁止访问
- 过去五年的英特尔芯片都包含无法修复的漏洞
- 赶快删除 微软部分Edge浏览器插件疑是李鬼 大神分析称其有恶意代码
- 苹果态度转弯:不再强迫WordPress增加应用内购功能
- 奇虎360:AI关键基础设施正面临三重风险 人脸识别有漏洞
- 国内开源CMS厂商WellCMS官方推出前端用户投稿扩展插件
- Nginx+Memcached缓存+wordpress下ab压测性能测试
- MIPS架构厂商日渐式微 Linux报告其漏洞遭遇困难
- 环境署数据库的一个漏洞暴露联合国雇员数据
- 安全研究员发现一个存在于苹果、微软等多家公司的漏洞
- Super Fast SEO插件:WordPress 优秀的SEO插件
- 英特尔发现16个与BIOS相关的新漏洞 可绕过操作系统安全措施进行攻击
- Microsoft Edge浏览器怎么安装插件?
- Microsoft Edge浏览器如何安装Chrome插件?
- 因UpdraftPlus插件存在漏洞 超200万个WordPress网站已强制更新
- WordPress 5.9.1 官方版发布
- 漏洞是什么意思?