到目前为止,wordpress是互联网上使用最广泛的网站构建技术。根据最新统计数据,所有互联网网站中超过35%的网站运行wordpress cms(内容管理系统)版本。
由于安装数量众多,wordpress是一个巨大的攻击面。与去年相比在过去的几个月中,尝试攻击wordpress的黑客一直处于较低水平。造成这种停机的原因可能是冬季假期,正如我们在前几年所看到的那样,这通常会导致恶意软件和黑客活动在全球范围内放缓,因为黑客也会休息一下。
在过去的两周中,我们发现针对wordpress网站的攻击有所复苏,这标志着12月和1月相对平静的时期已经结束。
wordfence,webarx和nintechnet等几家专门研究wordpress安全产品的网络安全公司报告说,对wordpress网站的攻击越来越多。
上个月发现的所有新攻击都集中在利用wordpress插件中的错误,而不是利用wordpress本身。
许多攻击都针对最近修补的插件漏洞,黑客希望在站点管理员安装补丁之前劫持网站。
一些攻击利用了 0 day 漏洞,攻击过程也更加复杂。
以下是2月份发生的一些wordpress攻击活动的摘要,这些活动针对wordpress插件漏洞。
建议网站管理员更新以下列出的所有wordpress插件,因为它们很可能在整个2020年甚至更长时间内都将被利用。
duplicator
根据wordfence的一份报告,自2月中旬以来,黑客利用了duplicator中的一个漏洞,该插件允许站点管理员导出其站点的内容。
该漏洞在1.3.28中修复,攻击者可以从中导出站点副本,从中提取数据库凭据,然后劫持wordpress站点的底层mysql服务器。
更糟糕的是,duplicator是wordpress门户网站上最流行的插件之一,大约在2月10日,在攻击开始时安装了100多万个。这个插件的商业版本duplicator pro,有170000个站点安装,也受到了影响。
profile builder plugin
profile builder插件的免费和专业版本中还有另一个主要的bug。该漏洞允许黑客在wordpress网站注册未经授权的管理员帐户。
该漏洞于2月10日修补,但攻击始于2月24日,即poc代码在网上发布的同一天。据报道,至少有两个黑客组织正在利用这个漏洞。
超过65000个站点(50000个使用免费版本,15000个使用商业版本)易受攻击,除非他们将插件更新到最新版本。
themegrill demo importer
据信,利用上述插件的同两个黑客组织还将目标锁定在themegrill演示导入程序中的一个bug上,themegrill是一家商业wordpress主题供应商,该插件附带themegrill出售的主题。
这个插件安装在超过200000个站点上,这个bug允许用户删除运行易受攻击版本的站点,如果满足某些条件,接管“admin”帐户。
攻击,已经被wordfence、webarx和twitter上的独立研究人员证实。poc代码也可以在线获得。建议用户尽快更新到v1.6.3。
themerex addons
还发现针对themerex addons的攻击,该插件是预装所有themerex商业主题的wordpress插件。
根据wordfence的报告,攻击始于2月18日,当时黑客在插件中发现了一个零日漏洞,并开始利用该漏洞在易受攻击的网站上创建恶意管理员帐户。
尽管攻击仍在进行中,但始终没有提供修补程序,建议站点管理员尽快从其站点中删除该插件。
flexible checkout fields for woocommerce
攻击还针对运行woocommerce插件的“ 灵活结帐字段”插件的网站,该插件安装在20,000多个基于wordpress的电子商务网站上。
黑客使用了一个(现在已修补)的零日漏洞来注入xss攻击,该攻击可以在已登录管理员的仪表板中触发。xss有效加载使黑客能够在易受攻击的站点上创建管理员帐户。
async javascript, 10web map builder for google maps, modern events calendar lite
在asyncjavascript、10webmapbuilderforgooglemaps、moderneventscalendarlite插件中也发现了三个类似的 0 day 漏洞。这些插件分别用于100000、20000和40000个站点。
这三个 0 day 漏洞都是像上面描述的那样存储的xss错误。这三个插件都已经发布了修补补丁,但是攻击在补丁发布之前就开始了,这意味着一些站点很可能受到了攻击。
试用申请