攻擊者利用WordPress外掛BackupBuddy的零日漏洞(9.10)
約翰霍普金斯大學的研究人員開發了一種基於圖形的程式碼分析工具,可以檢測JavaScript程式中的各種漏洞。
詳細情況
攻擊者正在積極利用BackupBuddy中的一個嚴重漏洞,BackupBuddy是一款WordPress外掛,估計有14萬個網站正在使用該外掛來備份安裝。
該漏洞允許攻擊者從受影響的網站讀取和下載任意檔案,包括那些包含配置資訊和敏感資料(例如可用於進一步入侵的密碼)的檔案。
WordPress安全供應商Wordfence報告說,從8月26日開始觀察到針對該漏洞的攻擊,且自那時以來已經阻止了近500萬次攻擊。該外掛的開發者iThemes在攻擊開始了一週後,於9月2日釋出了針對該漏洞的補丁。這增加了在該漏洞的修復程式可用之前至少有一些使用該外掛的WordPress網站遭到入侵的可能性。
目錄遍歷漏洞
iThemes在其網站上的一份宣告中將目錄遍歷漏洞描述為影響執行BackupBuddy 8.5.8.0至8.7.4.1版本的網站。iThemes敦促使用該外掛的使用者立即更新到BackupBuddy 8.75版本,即使他們目前沒有使用該外掛的易受攻擊版本。
該外掛製造商警告說:“此漏洞能夠讓攻擊者檢視伺服器上任何可以被WordPress安裝讀取的檔案內容。”
iThemes的警告指導網站運營商確定其網站是否遭到入侵以及可以採取的恢復安全的措施。這些措施包括重置資料庫密碼、更改其WordPress salts以及在站點配置檔案中輪換API金鑰等其他金鑰。
Wordfence表示,已有攻擊者利用該漏洞試圖檢索敏感檔案,例如可用於進一步攻擊受害者的 /wp-config.php 和 /etc/passwd 檔案。
WordPress 外掛:一個會傳染的問題外掛
近年來在WordPress環境中披露的數千個漏洞幾乎都涉及外掛,BackupBuddy漏洞只是其中一個。
在今年早些時候釋出的一份報告中,iThemes表示,它在2021年共發現了1,628個已披露的WordPress漏洞,其中超過97%的漏洞影響了外掛。高危到嚴重程度的佔將近一半(47.1%)。並且麻煩的是,23.2%的易受攻擊的外掛沒有已知的修復程式。
Dark Reading快速瀏覽了國家漏洞資料庫(NVD),結果顯示,在9月的第一週,影響WordPress網站的漏洞已經披露了數十個。
含有漏洞的外掛並不是WordPress網站的唯一問題;惡意外掛是另一個問題。佐治亞理工學院的研究人員對超過40萬個網站進行的一項大規模研究發現,24,931個網站上安裝了多達47,337個惡意外掛,其中大多數仍然處於活動狀態,令人震驚。
JupiterOne資訊長Sounil Yu表示,WordPress環境存在的風險與任何利用外掛、整合和第三方應用程式來擴充套件功能的環境中的風險一樣。
他解釋說:“與智慧手機一樣,此類第三方元件擴充套件了核心產品的功能,但它們對安全團隊來說也是個問題,因為它們大大增加了核心產品的攻擊面,” 他又補充說,它們數量太多且出處不明確,增大了審查的難度。
Yu指出:“安全團隊有基本的方法,粗略來看就是我所說的三個P:受歡迎程度(popularity)、目的(purpose)和許可權(permission)。”他指出:“與蘋果和谷歌對其應用商店的管理類似,市場需要多開展審查,以確保惡意(外掛、整合和第三方應用程式)不會給客戶帶來麻煩。”
Viakoo執行長Bud Broomhead表示,另一個問題在於,雖然WordPress被廣泛使用,但它的管理者通常是營銷或網頁設計專業人員,而不是IT或安全專業人員。
Broomhead告訴Dark Reading:“安裝很容易,解除安裝是都是後來考慮到的或者根本考慮不到。”“就像攻擊面已經轉移到IoT/OT/ICS一樣,威脅行為者的目標不是受IT管理的系統,而是像WordPress這樣廣泛使用的系統。”
Broomhead補充說:“即使WordPress發出有關外掛存在漏洞的警報,但安全以外的其他優先事項也可能會推遲刪除惡意外掛。”
參考連結
https://www.darkreading.com/attacks-breaches/attackers-exploit-zero-day-wordpress-plugin-vulnerability-backupbuddy