一场对于160多万个WordPress网站的互联网攻击已经开展,科学研究工作人员看到有攻击者曾数十万次利用四个不一样的插件和好多个Epsilon架构主题风格的漏洞开展攻击。
她们说,攻击者的目地是为了更好地利用管理员权限彻底接手网址。
本次攻击主题活动的标准十分特别注意。依据Wordfence的剖析,该攻击主题活动来源于16,000好几个不一样的IP地址。在前36个小时内就会有1370千次攻击。
带有漏洞的插件
科学研究工作人员说,攻击者的目地是利用下列插件中的没经验证的随意选项升级漏洞。主要是对于Kiwi Social Share(2018年打补丁包),WordPress Automatic、Pinterest Automatic和PublishPress Capabilities(都是在2022年打补丁包)开展攻击。
Wordfence科学研究员工在周四的研究中强调,在大部分情形下,攻击者会将'users_can_register'选项升级为开启,并将'default_role'选项设定为`administrator',这促使攻击者有可能以系统管理员的地位在一切平台上开展申请注册,合理地接手网址。
据Wordfence称,该攻击主题活动于12月8日正式开始,很有可能是在12月6日PublishPress Capabilities插件打补丁包后,攻击者逐渐对随意选项升级漏洞开展很多的攻击。
安全性科研工作人员强调,在其中一些漏洞之前就被利用过。例如,从12月6日逐渐,针对2018年Kiwi Social Share漏洞的主题活动猛增。
WordPress Kiwi Social Sharing插件现阶段自12月6日起就逐渐很多被利用。该企业当初在一份简洁明了的报警上说,它容许攻击者改动WordPress的wp_options表,建立超级管理员,或是,将blog跳转到另一个网站。
受影响的版本号如下所示。
Kiwi Social Plugin <= 2.0.10 - 让站点来访者在社交媒体上共享內容。10,000 安裝。
PublishPress Capabilities <= 2.3 - 容许管理人员订制WordPress客户人物角色的管理权限,从管理人员和编写到创作者、推动者、定阅者和自定人物角色。100,000以上的安裝。
Pinterest Automatic <= 4.14.3 - 将文章内容中的照片全自动黏贴到Pinterest.com。7,400好几个安裝。
WordPress Automatic <= 3.53.2 - 全自动将內容导到WordPress。28,000好几个安裝。
Epsilon漏洞
科学研究工作人员说,攻击者还对于各种各样Epsilon架构主题风格中具有的作用引入漏洞开展利用,该漏洞容许远程控制执行命令(RCE)。Epsilon主题风格容许网址建筑者挑选差异的设计风格,自定网址的外形和机构方法。
受影响的主题风格(一共安裝在150,000好几个网址上)是:
- Activello <=1.4.0
- Affluent<1.1.0
- Allegiant <=1.2.2
- Antreas <=1.0.2
- Bonkers <=1.0.4
- Illdy <=2.1.4
- MedZone Lite <=1.2.4
- NatureMag Lite - 沒有公布补丁包,客户应立即卸载掉
- NewsMag <=2.4.1
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.5
- Regina Lite <=2.0.4
- Shapely <=1.2.7
- Transcend <=1.1.8
这种主题风格之前也曾被规模性的攻击。2020年11月,Wordfence观查到一个对于这种道具的 检测攻击行为,目地是测试网站是不是未修复漏洞和有漏洞。这涉及到对150多万个网址的750千次攻击,来源于18000好几个IP地址。
科学研究工作人员说,这一次,攻击者尝试再度升级随意选项,便于根据建立超级管理员来接手一个网站。
立即修复漏洞
依据Wordfence的观点,根据这种漏洞的危害性及其犯罪嫌疑人对于他们进行的规模性攻击主题活动,要保证 你的网址不被毁坏是十分关键的。大家强烈要求一切运作这种插件或主题风格的网址立即升级到打了补丁包的版本号。只需升级插件和主题风格,就能保证你的网址网络信息安全,不会受到一切对于这种漏洞的攻击。
科学研究工作人员提议,核查一个网站是不是早已被毁坏,管理人员可以核查网址上的用户账户,明确是不是有一切没经认证的帐户。
她们说明说,假如网址已经运作四个插件中任意一个带有漏洞的版本号,而且有一个无赖用户账户存有,那麼该网址很可能是利用这种插件被侵入的。请马上删掉检验到的一切用户账户。
她们说,管理人员还应当在http://examplesite[.]com/wp-admin/options-general.php网页页面,保证 "vip会员" 设定和 "新用户默认设置人物角色 "全是恰当设定。
因为WordPress为全世界30%以上的站点给予适用(一共4.55亿次网址),该服务平台和第三方插件将持续变成互联网攻击者的一个攻击总体目标,尤其是插件的漏洞并不少见。例如,10月,科学研究员工在Hashthemes Demo Importer插件中就发觉了一个高风险漏洞,它容许客户将站点的內容删掉整洁。
文中翻譯自:https://threatpost.com/active-attack-takeover-wordpress/176933/倘若转截,请标明全文详细地址。