黑客正在利用多個 WordPress 外掛的 0day 漏洞對網站發起攻擊

安華金和發表於2020-03-03

到目前為止,WordPress 是網際網路上使用最廣泛的網站構建技術。根據最新統計資料,所有網際網路網站中超過 35% 的網站執行 WordPress CMS(內容管理系統)版本。

由於安裝數量眾多,WordPress 是一個巨大的攻擊面。與去年相比在過去的幾個月中,嘗試攻擊 WordPress 的黑客一直處於較低水平。造成這種停機的原因可能是冬季假期,正如我們在前幾年所看到的那樣,這通常會導致惡意軟體和黑客活動在全球範圍內放緩,因為黑客也會休息一下。

在過去的兩週中,我們發現針對 WordPress 網站的攻擊有所復甦,這標誌著 12 月和 1 月相對平靜的時期已經結束。

Wordfence、WebARX 和 NinTechNet 等幾家專門研究 WordPress 安全產品的網路安全公司報告說,對 WordPress 網站的攻擊越來越多。上個月發現的所有新攻擊都集中在利用 WordPress 外掛中的錯誤,而不是利用 WordPress 本身。

許多攻擊都針對最近修補的外掛漏洞,黑客希望在站點管理員安裝補丁之前劫持網站。一些攻擊利用了 0 day 漏洞,攻擊過程也更加複雜。

以下是 2 月份發生的一些 WordPress 攻擊活動的摘要,這些活動針對 WordPress 外掛漏洞。

建議網站管理員更新以下列出的所有 WordPress 外掛,因為它們很可能在整個 2020 年甚至更長時間內都將被利用。

Duplicator

根據 Wordfence 的一份報告,自 2 月中旬以來,黑客利用了 Duplicator 中的一個漏洞,該外掛允許站點管理員匯出其站點的內容。

該漏洞在 1.3.28 中修復,攻擊者可以從中匯出站點副本,從中提取資料庫憑據,然後劫持 WordPress 站點的底層 MySQL 伺服器。更糟糕的是,Duplicator 是 WordPress 入口網站上最流行的外掛之一,大約在 2 月 10 日,在攻擊開始時安裝了 100 多萬個。這個外掛的商業版本 Duplicator Pro,有 170000 個站點安裝,也受到了影響。

Profile Builder

Profile Builder 外掛的免費和專業版本中還有另一個重要的 bug。該漏洞允許黑客在 WordPress 網站註冊未經授權的管理員帳戶。該漏洞於 2 月 10 日修補,但攻擊始於 2 月 24 日,即 POC 程式碼在網上釋出的同一天。據報導,至少有兩個黑客組織正在利用這個漏洞。

超過 65000 個站點(50000 個使用免費版本,15000 個使用商業版本)易受攻擊,除非他們將外掛更新到最新版本。

ThemeGrill Demo Importer

據信,利用上述外掛的同兩個黑客組織還將目標鎖定在 ThemeGrill 演示匯入程式中的一個 bug 上,ThemeGrill  是一家商業 WordPress 主題供應商,該外掛附帶ThemeGrill出售的主題。

這個外掛安裝在超過 200000 個站點上,這個 bug 允許使用者刪除執行易受攻擊版本的站點,如果滿足某些條件,接管“admin”帳戶。

攻擊,已經被 Wordfence、WebARX 和 Twitter 上的獨立研究人員證實。POC 程式碼也可以線上獲得。建議使用者儘快更新到 v1.6.3。

ThemeREX Addons

還發現針對 ThemeREX Addons 的攻擊,該外掛是預裝所有 ThemeREX 商業主題的 WordPress 外掛。

根據 Wordfence 的報告,攻擊始於 2 月 18 日,當時黑客在外掛中發現了一個零日漏洞,並開始利用該漏洞在易受攻擊的網站上建立惡意管理員帳戶。

儘管攻擊仍在進行中,但始終沒有提供修補程式,建議站點管理員儘快從其站點中刪除該外掛。

Flexible Checkout Fields for WooCommerce

攻擊還針對執行 WooCommerce 外掛的“靈活結帳欄位”外掛的網站,該外掛安裝在 20,000 多個基於 WordPress 的電子商務網站上。

黑客使用了一個(現在已修補)的零日漏洞來注入 XSS 攻擊,該攻擊可以在已登入管理員的儀表板中觸發。XSS 有效載入使黑客能夠在易受攻擊的站點上建立管理員帳戶。

Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite

在 AsyncJavaScript、10WebMapBuilderforGoogleMaps、ModernEventsCalendarLite 外掛中也發現了三個類似的 0 day 漏洞。這些外掛分別用於100000、20000 和 40000 個站點。

這三個 0day 漏洞都是像上面描述的那樣儲存的XSS錯誤。這三個外掛都已經發布了修補補丁,但是攻擊在補丁釋出之前就開始了,這意味著一些站點很可能受到了攻擊。

來源:ZDNet

更多資訊

瑞士就加密公司 Crypto 間諜醜聞提起刑事起訴

據國外媒體報導,瑞士總檢察長辦公室上週日表示,就美國中央情報局(CIA)涉嫌利用一家密碼公司作為掩護,對各國政府的祕密通訊進行監視的行為,瑞士政府已提出刑事起訴。

來源:網易科技

Facebook 群組功能被曝存安全漏洞 危險程度超過劍橋濫用資料醜聞

據外媒報導,對於那些患上高度敏感疾病的人,比如艾滋病或者阿片成癮,他們可能都會竭力保守祕密。同時,這些人想要得到些幫助或與志同道合的人交談,於是在 Facebook上誕生了為有健康問題的人建立的支援群組,讓人們可以坦率地表達自己的想法。 但是,如果當我們認為自己處於保密 Facebook 群裡,但實際上個人隱私卻無法得到安全保護時,那會怎麼樣?如果營銷人員可以很容易地瞭解這些人的診斷以及他們的姓名、電子郵件地址、位置和其他識別資訊,情況會怎樣?

來源:騰訊科技

美國第二大藥店的移動應用洩露了使用者的個人資料

美國第二大藥店沃爾格林(Walgreens)週五表示,其官方移動應用程式包含一個錯誤,該錯誤暴露了一些使用者的個人詳細資訊。該洩漏被描述為“ Walgreens 移動應用程式個人安全訊息傳遞功能中的錯誤”,其中公開了使用者詳細資訊,例如姓名,處方詳細資訊,商店編號和送貨地址。

來源:ZDNet

資訊來源於網路,安華金和蒐集整理

黑客正在利用多個 WordPress 外掛的 0day 漏洞對網站發起攻擊

訂閱“Linux 中國”官方小程式來檢視

相關文章