駭客正在利用多個 WordPress 外掛的 0day 漏洞對網站發起攻擊

到目前為止，WordPress 是網際網路上使用最廣泛的網站構建技術。根據最新統計資料，所有網際網路網站中超過 35％ 的網站執行 WordPress CMS（內容管理系統）版本。

由於安裝數量眾多，WordPress 是一個巨大的攻擊面。與去年相比在過去的幾個月中，嘗試攻擊 WordPress 的黑客一直處於較低水平。造成這種停機的原因可能是冬季假期，正如我們在前幾年所看到的那樣，這通常會導致惡意軟體和黑客活動在全球範圍內放緩，因為黑客也會休息一下。

在過去的兩週中，我們發現針對 WordPress 網站的攻擊有所復甦，這標誌著 12 月和 1 月相對平靜的時期已經結束。

Wordfence、WebARX 和 NinTechNet 等幾家專門研究 WordPress 安全產品的網路安全公司報告說，對 WordPress 網站的攻擊越來越多。上個月發現的所有新攻擊都集中在利用 WordPress 外掛中的錯誤，而不是利用 WordPress 本身。

許多攻擊都針對最近修補的外掛漏洞，黑客希望在站點管理員安裝補丁之前劫持網站。一些攻擊利用了 0 day 漏洞，攻擊過程也更加複雜。

以下是 2 月份發生的一些 WordPress 攻擊活動的摘要，這些活動針對 WordPress 外掛漏洞。

建議網站管理員更新以下列出的所有 WordPress 外掛，因為它們很可能在整個 2020 年甚至更長時間內都將被利用。

Duplicator

根據 Wordfence 的一份報告，自 2 月中旬以來，黑客利用了 Duplicator 中的一個漏洞，該外掛允許站點管理員匯出其站點的內容。

該漏洞在 1.3.28 中修復，攻擊者可以從中匯出站點副本，從中提取資料庫憑據，然後劫持 WordPress 站點的底層 MySQL 伺服器。更糟糕的是，Duplicator 是 WordPress 入口網站上最流行的外掛之一，大約在 2 月 10 日，在攻擊開始時安裝了 100 多萬個。這個外掛的商業版本 Duplicator Pro，有 170000 個站點安裝，也受到了影響。

Profile Builder

Profile Builder 外掛的免費和專業版本中還有另一個重要的 bug。該漏洞允許黑客在 WordPress 網站註冊未經授權的管理員帳戶。該漏洞於 2 月 10 日修補，但攻擊始於 2 月 24 日，即 POC 程式碼在網上釋出的同一天。據報導，至少有兩個黑客組織正在利用這個漏洞。

超過 65000 個站點（50000 個使用免費版本，15000 個使用商業版本）易受攻擊，除非他們將外掛更新到最新版本。

ThemeGrill Demo Importer

據信，利用上述外掛的同兩個黑客組織還將目標鎖定在 ThemeGrill 演示匯入程式中的一個 bug 上，ThemeGrill  是一家商業 WordPress 主題供應商，該外掛附帶ThemeGrill出售的主題。

這個外掛安裝在超過 200000 個站點上，這個 bug 允許使用者刪除執行易受攻擊版本的站點，如果滿足某些條件，接管“admin”帳戶。

攻擊，已經被 Wordfence、WebARX 和 Twitter 上的獨立研究人員證實。POC 程式碼也可以線上獲得。建議使用者儘快更新到 v1.6.3。

ThemeREX Addons

還發現針對 ThemeREX Addons 的攻擊，該外掛是預裝所有 ThemeREX 商業主題的 WordPress 外掛。

根據 Wordfence 的報告，攻擊始於 2 月 18 日，當時黑客在外掛中發現了一個零日漏洞，並開始利用該漏洞在易受攻擊的網站上建立惡意管理員帳戶。

儘管攻擊仍在進行中，但始終沒有提供修補程式，建議站點管理員儘快從其站點中刪除該外掛。

Flexible Checkout Fields for WooCommerce

攻擊還針對執行 WooCommerce 外掛的“靈活結帳欄位”外掛的網站，該外掛安裝在 20,000 多個基於 WordPress 的電子商務網站上。

黑客使用了一個（現在已修補）的零日漏洞來注入 XSS 攻擊，該攻擊可以在已登入管理員的儀表板中觸發。XSS 有效載入使黑客能夠在易受攻擊的站點上建立管理員帳戶。

Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite

在 AsyncJavaScript、10WebMapBuilderforGoogleMaps、ModernEventsCalendarLite 外掛中也發現了三個類似的 0 day 漏洞。這些外掛分別用於100000、20000 和 40000 個站點。

這三個 0day 漏洞都是像上面描述的那樣儲存的XSS錯誤。這三個外掛都已經發布了修補補丁，但是攻擊在補丁釋出之前就開始了，這意味著一些站點很可能受到了攻擊。

來源：ZDNet

更多資訊

瑞士就加密公司 Crypto 間諜醜聞提起刑事起訴

據國外媒體報導，瑞士總檢察長辦公室上週日表示，就美國中央情報局（CIA）涉嫌利用一家密碼公司作為掩護，對各國政府的祕密通訊進行監視的行為，瑞士政府已提出刑事起訴。

來源：網易科技

Facebook 群組功能被曝存安全漏洞 危險程度超過劍橋濫用資料醜聞

據外媒報導，對於那些患上高度敏感疾病的人，比如艾滋病或者阿片成癮，他們可能都會竭力保守祕密。同時，這些人想要得到些幫助或與志同道合的人交談，於是在 Facebook上誕生了為有健康問題的人建立的支援群組，讓人們可以坦率地表達自己的想法。 但是，如果當我們認為自己處於保密 Facebook 群裡，但實際上個人隱私卻無法得到安全保護時，那會怎麼樣？如果營銷人員可以很容易地瞭解這些人的診斷以及他們的姓名、電子郵件地址、位置和其他識別資訊，情況會怎樣？

來源：騰訊科技

美國第二大藥店的移動應用洩露了使用者的個人資料

美國第二大藥店沃爾格林（Walgreens）週五表示，其官方移動應用程式包含一個錯誤，該錯誤暴露了一些使用者的個人詳細資訊。該洩漏被描述為“ Walgreens 移動應用程式個人安全訊息傳遞功能中的錯誤”，其中公開了使用者詳細資訊，例如姓名，處方詳細資訊，商店編號和送貨地址。

來源：ZDNet

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視