文章來源:ZDNet
到目前為止,WordPress是網際網路上使用最廣泛的網站建構技術。根據最新統計資料,所有網際網路網站中超過35%的網站運作WordPress CMS(内容管理系統)版本。
由于安裝數量衆多,WordPress是一個巨大的攻擊面。與去年相比在過去的幾個月中,嘗試攻擊WordPress的黑客一直處于較低水準。造成這種停機的原因可能是冬季假期,正如我們在前幾年所看到的那樣,這通常會導緻惡意軟體和黑客活動在全球範圍内放緩,因為黑客也會休息一下。
在過去的兩周中,我們發現針對WordPress網站的攻擊有所複蘇,這标志着12月和1月相對平靜的時期已經結束。
Wordfence,WebARX和NinTechNet等幾家專門研究WordPress安全産品的網絡安全公司報告說,對WordPress網站的攻擊越來越多。
上個月發現的所有新攻擊都集中在利用WordPress插件中的錯誤,而不是利用WordPress本身。
許多攻擊都針對最近修補的插件漏洞,黑客希望在站點管理者安裝更新檔之前劫持網站。
一些攻擊利用了 0 day 漏洞,攻擊過程也更加複雜。
以下是2月份發生的一些WordPress攻擊活動的摘要,這些活動針對WordPress插件漏洞。
建議網站管理者更新以下列出的所有WordPress插件,因為它們很可能在整個2020年甚至更長時間内都将被利用。
Duplicator
根據Wordfence的一份報告,自2月中旬以來,黑客利用了Duplicator中的一個漏洞,該插件允許站點管理者導出其站點的内容。
該漏洞在1.3.28中修複,攻擊者可以從中導出站點副本,從中提取資料庫憑據,然後劫持WordPress站點的底層MySQL伺服器。
更糟糕的是,Duplicator是WordPress門戶網站上最流行的插件之一,大約在2月10日,在攻擊開始時安裝了100多萬個。這個插件的商業版本Duplicator Pro,有170000個站點安裝,也受到了影響。
Profile Builder Plugin
Profile Builder插件的免費和專業版本中還有另一個主要的bug。該漏洞允許黑客在WordPress網站注冊未經授權的管理者帳戶。
該漏洞于2月10日修補,但攻擊始于2月24日,即POC代碼在網上釋出的同一天。據報道,至少有兩個黑客組織正在利用這個漏洞。
超過65000個站點(50000個使用免費版本,15000個使用商業版本)易受攻擊,除非他們将插件更新到最新版本。
ThemeGrill Demo Importer
據信,利用上述插件的同兩個黑客組織還将目标鎖定在ThemeGrill示範導入程式中的一個bug上,ThemeGrill是一家商業WordPress主題供應商,該插件附帶ThemeGrill出售的主題。
這個插件安裝在超過200000個站點上,這個bug允許使用者删除運作易受攻擊版本的站點,如果滿足某些條件,接管“admin”帳戶。
攻擊,已經被Wordfence、WebARX和Twitter上的獨立研究人員證明。POC代碼也可以線上獲得。建議使用者盡快更新到v1.6.3。
ThemeREX Addons
還發現針對ThemeREX Addons的攻擊,該插件是預裝所有ThemeREX商業主題的WordPress插件。
根據Wordfence的報告,攻擊始于2月18日,當時黑客在插件中發現了一個零日漏洞,并開始利用該漏洞在易受攻擊的網站上建立惡意管理者帳戶。
盡管攻擊仍在進行中,但始終沒有提供修補程式,建議站點管理者盡快從其站點中删除該插件。
Flexible Checkout Fields for WooCommerce
攻擊還針對運作WooCommerce插件的“ 靈活結帳字段”插件的網站,該插件安裝在20,000多個基于WordPress的電子商務網站上。
黑客使用了一個(現在已修補)的零日漏洞來注入XSS攻擊,該攻擊可以在已登入管理者的儀表闆中觸發。XSS有效加載使黑客能夠在易受攻擊的站點上建立管理者帳戶。
Async JavaScript, 10Web Map Builder for Google Maps, Modern Events Calendar Lite
在AsyncJavaScript、10WebMapBuilderforGoogleMaps、ModernEventsCalendarLite插件中也發現了三個類似的 0 day 漏洞。這些插件分别用于100000、20000和40000個站點。
這三個 0 day 漏洞都是像上面描述的那樣存儲的XSS錯誤。這三個插件都已經釋出了修補更新檔,但是攻擊在更新檔釋出之前就開始了,這意味着一些站點很可能受到了攻擊。
推薦文章++++
*WordPress靜态代碼分析工具
*黑客試圖在受到攻擊的WordPress網站建立管理者帳戶
*docker一鍵安裝wordpress,真一鍵!