一场针对160多万个WordPress网站的网络攻击正在进行,研究人员发现有攻击者曾数万次利用四个不同的插件和几个Epsilon框架主题的漏洞进行攻击。
他们说,攻击者的目的是为了利用管理权限完全接管网站。
此次攻击活动的范围非常值得注意。根据Wordfence的分析,该攻击活动来自16,000多个不同的IP地址。在前36小时内就有1370万次攻击。
含有漏洞的插件研究人员说,攻击者的目的是利用以下插件中的未经认证的任意选项更新漏洞。主要是针对Kiwi Social Share(2018年打了补丁),WordPress Automatic、Pinterest Automatic和PublishPress Capabilities(都在今年打了补丁)进行攻击。
Wordfence研究人员在周四的分析中指出,在大多数情况下,攻击者会将'users_can_register'选项更新为启用,并将'default_role'选项设置为`administrator',这使得攻击者有可能以管理员的身份在任何网站上进行注册,有效地接管网站。
据Wordfence称,该攻击活动于12月8日正式开始,可能是在12月6日PublishPress Capabilities插件打了补丁后,攻击者开始对任意选项更新漏洞进行大量的攻击。
安全研究人员指出,其中一些漏洞以前就被利用过。例如,从12月6日开始,专门针对2018年Kiwi Social Share漏洞的活动激增。
WordPress Kiwi Social Sharing插件目前自12月6日起就开始大量被利用。该公司当时在一份简短的警报中说,它允许攻击者修改WordPress的wp_options表,创建管理员账户,或者,将博客重定向到另一个网站。
受影响的版本如下。
Kiwi Social Plugin <= 2.0.10 - 让网站访问者在社交媒体上分享内容。10,000+安装。
PublishPress Capabilities <= 2.3 - 允许管理员定制WordPress用户角色的权限,从管理员和编辑到作者、贡献者、订阅者和自定义角色。100,000以上的安装。
Pinterest Automatic <= 4.14.3 - 将文章中的图片自动粘贴到Pinterest.com。7,400多个安装。
WordPress Automatic <= 3.53.2 - 自动将内容导入到WordPress。28,000多个安装。
Epsilon漏洞研究人员说,攻击者还针对各种Epsilon框架主题中存在的功能注入漏洞进行利用,该漏洞允许远程代码执行(RCE)。Epsilon主题允许网站建设者选择不同的设计元素,自定义网站的外观和组织方式。
受影响的主题(总共安装在150,000多个网站上)是:
- Activello <=1.4.0
- Affluent<1.1.0
- Allegiant <=1.2.2
- Antreas <=1.0.2
- Bonkers <=1.0.4
- Illdy <=2.1.4
- MedZone Lite <=1.2.4
- NatureMag Lite - 没有发布补丁,用户应及时卸载
- NewsMag <=2.4.1
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.5
- Regina Lite <=2.0.4
- Shapely <=1.2.7
- Transcend <=1.1.8
这些主题以前也曾被大规模的攻击。2020年11月,Wordfence观察到一个针对这些工具的 探测攻击行动,目的是测试网站是否未打补丁和有漏洞。这涉及对150多万个网站的750万次攻击,来自18000多个IP地址。
研究人员说,这一次,攻击者试图再次更新任意选项,以便通过创建管理员账户来接管一个网站。
及时打补丁根据Wordfence的说法,基于这些漏洞的严重性以及犯罪分子针对它们展开的大规模攻击活动,要确保你的网站不被破坏是非常重要的。我们强烈建议任何运行这些插件或主题的网站及时更新到打过补丁的版本。只要更新插件和主题,就能确保你的网站信息安全,不受任何针对这些漏洞的攻击。
研究人员建议,审查一个网站是否已经被破坏,管理员可以审查网站上的用户账户,确定是否有任何未经授权的账户。
他们解释说,如果网站正在运行四个插件中任何一个含有漏洞的版本,并且有一个流氓用户账户存在,那么该网站很可能是通过这些插件被入侵的。请立即删除检测到的任何用户账户。
他们说,管理员还应该在http://examplesite[.]com/wp-admin/options-general.php页面,确保 "会员" 设置和 "新用户默认角色 "都是正确设置。
由于WordPress为全球30%以上的网站提供支持(总共4.55亿个网站),该平台和第三方插件将继续成为网络攻击者的一个攻击目标,尤其是插件的漏洞并不罕见。例如,10月,研究人员在Hashthemes Demo Importer插件中就发现了一个高危漏洞,它允许用户将网站的内容删除干净。
本文翻译自:https://threatpost.com/active-attack-takeover-wordpress/176933/如若转载,请注明原文地址。