黑客為獲得160萬(wàn)個(gè)網(wǎng)站的管理權(quán)限而攻擊WordPress
一場(chǎng)針對(duì)160多萬(wàn)個(gè)WordPress網(wǎng)站的網(wǎng)絡(luò)攻擊正在進(jìn)行,研究人員發(fā)現(xiàn)有攻擊者曾數(shù)萬(wàn)次利用四個(gè)不同的插件和幾個(gè)Epsilon框架主題的漏洞進(jìn)行攻擊。
他們說(shuō),攻擊者的目的是為了利用管理權(quán)限完全接管網(wǎng)站。
此次攻擊活動(dòng)的范圍非常值得注意。根據(jù)Wordfence的分析,該攻擊活動(dòng)來(lái)自16,000多個(gè)不同的IP地址。在前36小時(shí)內(nèi)就有1370萬(wàn)次攻擊。
含有漏洞的插件
研究人員說(shuō),攻擊者的目的是利用以下插件中的未經(jīng)認(rèn)證的任意選項(xiàng)更新漏洞。主要是針對(duì)Kiwi Social Share(2018年打了補(bǔ)丁),WordPress Automatic、Pinterest Automatic和PublishPress Capabilities(都在今年打了補(bǔ)丁)進(jìn)行攻擊。
Wordfence研究人員在周四的分析中指出,在大多數(shù)情況下,攻擊者會(huì)將'users_can_register'選項(xiàng)更新為啟用,并將'default_role'選項(xiàng)設(shè)置為`administrator',這使得攻擊者有可能以管理員的身份在任何網(wǎng)站上進(jìn)行注冊(cè),有效地接管網(wǎng)站。
據(jù)Wordfence稱,該攻擊活動(dòng)于12月8日正式開(kāi)始,可能是在12月6日PublishPress Capabilities插件打了補(bǔ)丁后,攻擊者開(kāi)始對(duì)任意選項(xiàng)更新漏洞進(jìn)行大量的攻擊。
安全研究人員指出,其中一些漏洞以前就被利用過(guò)。例如,從12月6日開(kāi)始,專門針對(duì)2018年Kiwi Social Share漏洞的活動(dòng)激增。
WordPress Kiwi Social Sharing插件目前自12月6日起就開(kāi)始大量被利用。該公司當(dāng)時(shí)在一份簡(jiǎn)短的警報(bào)中說(shuō),它允許攻擊者修改WordPress的wp_options表,創(chuàng)建管理員賬戶,或者,將博客重定向到另一個(gè)網(wǎng)站。
受影響的版本如下。
Kiwi Social Plugin <= 2.0.10 - 讓網(wǎng)站訪問(wèn)者在社交媒體上分享內(nèi)容。10,000+安裝。
PublishPress Capabilities <= 2.3 - 允許管理員定制WordPress用戶角色的權(quán)限,從管理員和編輯到作者、貢獻(xiàn)者、訂閱者和自定義角色。100,000以上的安裝。
Pinterest Automatic <= 4.14.3 - 將文章中的圖片自動(dòng)粘貼到Pinterest.com。7,400多個(gè)安裝。
WordPress Automatic <= 3.53.2 - 自動(dòng)將內(nèi)容導(dǎo)入到WordPress。28,000多個(gè)安裝。
Epsilon漏洞
研究人員說(shuō),攻擊者還針對(duì)各種Epsilon框架主題中存在的功能注入漏洞進(jìn)行利用,該漏洞允許遠(yuǎn)程代碼執(zhí)行(RCE)。Epsilon主題允許網(wǎng)站建設(shè)者選擇不同的設(shè)計(jì)元素,自定義網(wǎng)站的外觀和組織方式。
受影響的主題(總共安裝在150,000多個(gè)網(wǎng)站上)是:
- Activello <=1.4.0
- Affluent<1.1.0
- Allegiant <=1.2.2
- Antreas <=1.0.2
- Bonkers <=1.0.4
- Illdy <=2.1.4
- MedZone Lite <=1.2.4
- NatureMag Lite - 沒(méi)有發(fā)布補(bǔ)丁,用戶應(yīng)及時(shí)卸載
- NewsMag <=2.4.1
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.5
- Regina Lite <=2.0.4
- Shapely <=1.2.7
- Transcend <=1.1.8
這些主題以前也曾被大規(guī)模的攻擊。2020年11月,Wordfence觀察到一個(gè)針對(duì)這些工具的 探測(cè)攻擊行動(dòng),目的是測(cè)試網(wǎng)站是否未打補(bǔ)丁和有漏洞。這涉及對(duì)150多萬(wàn)個(gè)網(wǎng)站的750萬(wàn)次攻擊,來(lái)自18000多個(gè)IP地址。
研究人員說(shuō),這一次,攻擊者試圖再次更新任意選項(xiàng),以便通過(guò)創(chuàng)建管理員賬戶來(lái)接管一個(gè)網(wǎng)站。
及時(shí)打補(bǔ)丁
根據(jù)Wordfence的說(shuō)法,基于這些漏洞的嚴(yán)重性以及犯罪分子針對(duì)它們展開(kāi)的大規(guī)模攻擊活動(dòng),要確保你的網(wǎng)站不被破壞是非常重要的。我們強(qiáng)烈建議任何運(yùn)行這些插件或主題的網(wǎng)站及時(shí)更新到打過(guò)補(bǔ)丁的版本。只要更新插件和主題,就能確保你的網(wǎng)站信息安全,不受任何針對(duì)這些漏洞的攻擊。
研究人員建議,審查一個(gè)網(wǎng)站是否已經(jīng)被破壞,管理員可以審查網(wǎng)站上的用戶賬戶,確定是否有任何未經(jīng)授權(quán)的賬戶。
他們解釋說(shuō),如果網(wǎng)站正在運(yùn)行四個(gè)插件中任何一個(gè)含有漏洞的版本,并且有一個(gè)流氓用戶賬戶存在,那么該網(wǎng)站很可能是通過(guò)這些插件被入侵的。請(qǐng)立即刪除檢測(cè)到的任何用戶賬戶。
他們說(shuō),管理員還應(yīng)該在http://examplesite[.]com/wp-admin/options-general.php頁(yè)面,確保 "會(huì)員" 設(shè)置和 "新用戶默認(rèn)角色 "都是正確設(shè)置。
由于WordPress為全球30%以上的網(wǎng)站提供支持(總共4.55億個(gè)網(wǎng)站),該平臺(tái)和第三方插件將繼續(xù)成為網(wǎng)絡(luò)攻擊者的一個(gè)攻擊目標(biāo),尤其是插件的漏洞并不罕見(jiàn)。例如,10月,研究人員在Hashthemes Demo Importer插件中就發(fā)現(xiàn)了一個(gè)高危漏洞,它允許用戶將網(wǎng)站的內(nèi)容刪除干凈。
本文翻譯自:https://threatpost.com/active-attack-takeover-wordpress/176933/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
