黑客正试图利用关键漏洞(包括多个插件中的零日漏洞)来利用数以万计的WordPress网站,这些漏洞使他们可以创建流氓管理员帐户并植入后门程序。
NinTechNet研究人员针对WooCommerce插件的Flexible Checkout字段中发现的零日未验证的存储XSS错误,昨天开始对WordPress网站进行攻击,该漏洞 ?由NinTechNet的研究人员安装了20,000个活动安装。
插件的开发团队WP Desk在收到NinTechNet的披露报告后的一个小时内推出了2.3.2版本以修复主动针对的安全漏洞,但一些用户遭到黑客攻击,直到可用并准备安装为止。
在分析这些持续攻击的范围时,WordPress安全公司Defiant的研究人员发现了另外三个零日漏洞,这些漏洞影响了其他WordPress插件,这些插件现在也正在被积极利用:
?订户+在异步java script中存储的XSS (安装100,000 + ?)
?未经验证的XSS存储在 ?用于Google Maps的10Web Map Builder中 ?(安装20,000+)
?和多个订户+在Modern Events Calendar Lite中存储的XSS ? (40,000 +安装)
后面的异步java script和10Web地图生成器谷歌地图的开发者已经发布了补丁,在野外(积极开拓两个错误1,2),而现代的活动日历精简版还在等待修复。
Defiant威胁分析师Mikey Veenstra 表示: “此攻击活动利用上述插件中的XSS漏洞注入恶意java script,这些java script可以创建恶意的WordPress管理员并安装包括后门程序的恶意插件 ?。” “重要的是,使用这些插件的站点管理员必须紧急采取措施来减轻这些攻击。”
他补充说:“我们非常认真地对待安全披露程序,如果在此活动期间没有必要向WordPress社区发出有关其风险的警告,我们将不会发布这些详细信息。”
WP Desk的?ukaszSpryszak ?分享了以下症状列表,以检查您的WordPress网站是否已被此活动破坏:
尚未创建的新管理员帐户的外观
插件列表中未亲自安装的新插件的外观
可疑文件,尤其是带有.php或.zip扩展名的文件,例如Woo-Add-To-Carts.zip,位于/ wp-content / uploads /目录中
检出字段的重新排列,其异常的故障功能或以前未添加的新字段的出现。
试图通过利用插件中最近修补的或零日漏洞来破坏WordPress网站的活动近来风靡一时,成千上万的网站受到攻击。
例如,正如BleepingComputer在本周早些时候报道的那样,攻击者试图通过利用未打补丁的ThemeGrill Demo Importer,Profile Builder和Duplicator插件来完全破坏或清除WordPress网站,据报道,这些插件的安装数量为1,250,000。
上周,在一个活动中也积极利用了零日漏洞,该 ?漏洞允许在ThemeREX Addons WordPress插件中发现远程执行代码,估计活动安装数量超过40,000,该活动的最终目的是创建管理员帐户并完全采用在易受攻击的站点上。
攻击者还可以针对其他严重的WordPress插件缺陷,例如WordPress GDPR Cookie Consent插件中发现的多个错误,超过700,000个网站使用了这些漏洞,可用于注入恶意java script代码或 ?严重的跨站点请求伪造(CSRF)错误。代码片段插件,安装量超过200,000,可用于站点接管。
最后但并非最不重要的一点是, 如果安装不是最新的,黑客可能会滥用开源WP Database Reset WordPress插件中发现的两个漏洞,以 ?进行完整站点接管和/或数据库重置。