公共服務公告:WPGateway中的零日漏洞在野外被積極利用(9.13)
2022年9月8日,Wordfence威脅情報團隊發現了一個積極利用的零日漏洞被用來向執行WPGateway外掛的站點新增惡意管理員使用者。我們在2022年9月8日的同一天就向Wordfence Premium、Wordfence Care和Wordfence Response客戶釋出了一條防火牆規則來阻止該漏洞利用。
仍在執行免費版Wordfence的站點也將在30天后,即2022年10月8日得到相同的保護。過去30天以來,Wordfence防火牆成功阻止了針對280,000多個站點的超過460萬次針對此漏洞的攻擊。
詳細情況
漏洞詳情
漏洞描述:未經身份認證的許可權提升
受影響的外掛:WPGateway
外掛模組:wpgateway
外掛開發人員:Jack Hopma/WPGateway
受影響的版本:3.5及以下版本
CVE ID:CVE-2022-3180 CVSS得分:9.8(嚴重)
CVSS模型:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 完整補丁版本:N/A
WPGateway外掛是一個繫結到WPGateway雲服務的高階外掛,它為使用者提供了一種從單個儀表板設定和管理WordPress站點的方法。部分外掛功能暴露了一個漏洞,允許攻擊者未經身份驗證就能新增惡意管理員。
2022年9月9日,我們獲得了該外掛的當前副本,並確定它存在漏洞,當時我們聯絡了外掛的廠商初步披露了該漏洞。我們為這個漏洞申請了漏洞編號CVE-2022-3180。
由於這是一個被積極利用的零日漏洞,且攻擊者知道了利用它所需的機制,因此我們向所有使用者釋出此公共服務公告(PSA)。我們刻意隱瞞了一些細節,防止該漏洞被進一步利用。需要提醒的是,有管理員許可權的攻擊者已經完全有效接管了站點。
危害指標
該漏洞最常見的危害指標是系統中存在使用者名稱為rangex的惡意管理員,可以由此確定某個站點是否受到此漏洞危害。 如果您看到此使用者被新增到了您的控制皮膚中,說明您的站點已遭到破壞。 此外,您還可以檢查您的站點訪問日誌,檢視是否有對//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials = 1的請求。
如果日誌中有這些請求,說明您的站點已受到針對此漏洞的利用攻擊,但不能說明它已成功入侵。
結論
在本篇文章中,我們詳細介紹了一個在WPGateway外掛中被積極利用的零日漏洞。
Wordfence Premium、Wordfence Care和Wordfence Response的客戶在2022年9月8日收到了一個防禦此漏洞的防火牆規則,而仍然使用免費版Wordfence的站點將在30天后即2022年10月8日得到相同的保護。 如果您已經安裝了WPGateway外掛,我們強烈建議您立即刪除它,直到補丁釋出,並在WordPress控制皮膚中檢查惡意管理員使用者。 由於這是一個正在被廣泛利用的嚴重漏洞,如果您認識在站點上使用此外掛的朋友或同事,我們強烈建議將此公告轉發給他們,幫助保護他們的站點。請讓WordPress社群都知道這個漏洞。
如果您認為您的站點已經遭到此漏洞或其他漏洞破壞,我們將透過Wordfence Care為您提供事件響應服務。 我們的調查仍在進行中,我們將在其他部落格文章中提供更多資訊。 特別感謝威脅情報負責人Chloe Chamberland發現了在野利用的該漏洞。
參考連結
https://www.wordfence.com/blog/2022/09/psa-zero-day-vulnerability-in-wpgateway-actively-exploited-in-the-wild/?web_view=true