黑客正在利用多个 WordPress 插件的 0day 漏洞对网站发起攻击

2020-03-03 17:30


到目前为止,WordPress 是互联网上使用最广泛的网站构建技术。根据最新统计数据,所有互联网网站中超过 35% 的网站运行 WordPress CMS(内容管理系统)版本。

由于安装数量众多,WordPress 是一个巨大的攻击面。与去年相比在过去的几个月中,尝试攻击 WordPress 的黑客一直处于较低水平。造成这种停机的原因可能是冬季假期,正如我们在前几年所看到的那样,这通常会导致恶意软件和黑客活动在全球范围内放缓,因为黑客也会休息一下。

在过去的两周中,我们发现针对 WordPress 网站的攻击有所复苏,这标志着 12 月和 1 月相对平静的时期已经结束。

Wordfence、WebARX 和 NinTechNet 等几家专门研究 WordPress 安全产品的网络安全公司报告说,对 WordPress 网站的攻击越来越多。上个月发现的所有新攻击都集中在利用 WordPress 插件中的错误,而不是利用 WordPress 本身。

许多攻击都针对最近修补的插件漏洞,黑客希望在站点管理员安装补丁之前劫持网站。一些攻击利用了 0 day 漏洞,攻击过程也更加复杂。

以下是 2 月份发生的一些 WordPress 攻击活动的摘要,这些活动针对 WordPress 插件漏洞。

建议网站管理员更新以下列出的所有 WordPress 插件,因为它们很可能在整个 2020 年甚至更长时间内都将被利用。

Duplicator

根据 Wordfence 的一份报告,自 2 月中旬以来,黑客利用了 Duplicator 中的一个漏洞,该插件允许站点管理员导出其站点的内容。

该漏洞在 1.3.28 中修复,攻击者可以从中导出站点副本,从中提取数据库凭据,然后劫持 WordPress 站点的底层 MySQL 服务器。更糟糕的是,Duplicator 是 WordPress 门户网站上最流行的插件之一,大约在 2 月 10 日,在攻击开始时安装了 100 多万个。这个插件的商业版本 Duplicator Pro,有 170000 个站点安装,也受到了影响。

Profile Builder

Profile Builder 插件的免费和专业版本中还有另一个重要的 bug。该漏洞允许黑客在 WordPress 网站注册未经授权的管理员帐户。该漏洞于 2 月 10 日修补,但攻击始于 2 月 24 日,即 POC 代码在网上发布的同一天。据报道,至少有两个黑客组织正在利用这个漏洞。

超过 65000 个站点(50000 个使用免费版本,15000 个使用商业版本)易受攻击,除非他们将插件更新到最新版本。

ThemeGrill Demo Importer

据信,利用上述插件的同两个黑客组织还将目标锁定在 ThemeGrill 演示导入程序中的一个 bug 上,ThemeGrill  是一家商业 WordPress 主题供应商,该插件附带ThemeGrill出售的主题。

这个插件安装在超过 200000 个站点上,这个 bug 允许用户删除运行易受攻击版本的站点,如果满足某些条件,接管“admin”帐户。

攻击,已经被 Wordfence、WebARX 和 Twitter 上的独立研究人员证实。POC 代码也可以在线获得。建议用户尽快更新到 v1.6.3。

ThemeREX Addons

还发现针对 ThemeREX Addons 的攻击,该插件是预装所有 ThemeREX 商业主题的 WordPress 插件。

根据 Wordfence 的报告,攻击始于 2 月 18 日,当时黑客在插件中发现了一个零日漏洞,并开始利用该漏洞在易受攻击的网站上创建恶意管理员帐户。

尽管攻击仍在进行中,但始终没有提供修补程序,建议站点管理员尽快从其站点中删除该插件。

Flexible Checkout Fields for WooCommerce

攻击还针对运行 WooCommerce 插件的“灵活结帐字段”插件的网站,该插件安装在 20,000 多个基于 WordPress 的电子商务网站上。

黑客使用了一个(现在已修补)的零日漏洞来注入 XSS 攻击,该攻击可以在已登录管理员的仪表板中触发。XSS 有效加载使黑客能够在易受攻击的站点上创建管理员帐户。

Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite

在 AsyncJavaScript、10WebMapBuilderforGoogleMaps、ModernEventsCalendarLite 插件中也发现了三个类似的 0 day 漏洞。这些插件分别用于100000、20000 和 40000 个站点。

这三个 0day 漏洞都是像上面描述的那样存储的XSS错误。这三个插件都已经发布了修补补丁,但是攻击在补丁发布之前就开始了,这意味着一些站点很可能受到了攻击。

来源:ZDNet

更多资讯

瑞士就加密公司 Crypto 间谍丑闻提起刑事起诉

据国外媒体报道,瑞士总检察长办公室上周日表示,就美国中央情报局(CIA)涉嫌利用一家密码公司作为掩护,对各国政府的秘密通信进行监视的行为,瑞士政府已提出刑事起诉。

来源:网易科技

Facebook 群组功能被曝存安全漏洞 危险程度超过剑桥滥用数据丑闻

据外媒报道,对于那些患上高度敏感疾病的人,比如艾滋病或者阿片成瘾,他们可能都会竭力保守秘密。同时,这些人想要得到些帮助或与志同道合的人交谈,于是在 Facebook上诞生了为有健康问题的人建立的支持群组,让人们可以坦率地表达自己的想法。 但是,如果当我们认为自己处于保密 Facebook 群里,但实际上个人隐私却无法得到安全保护时,那会怎么样?如果营销人员可以很容易地了解这些人的诊断以及他们的姓名、电子邮件地址、位置和其他识别信息,情况会怎样?

来源:腾讯科技

美国第二大药店的移动应用泄露了用户的个人数据

美国第二大药店沃尔格林(Walgreens)周五表示,其官方移动应用程序包含一个错误,该错误暴露了一些用户的个人详细信息。该泄漏被描述为“ Walgreens 移动应用程序个人安全消息传递功能中的错误”,其中公开了用户详细信息,例如姓名,处方详细信息,商店编号和送货地址。

来源:ZDNet

信息来源于网络,安华金和搜集整理