威胁行为体正在发起一场黑客攻击活动,目的是通过利用关键漏洞,占领数以万计的WordPress网站。
攻击中利用的一个问题是一个零天漏洞,它会影响多个插件,并允许黑客创建管理帐户并接管网站。
NinTechNet的研究人员报告了一项在过去几个小时里观察到的正在进行的活动,该活动正在积极利用Woomcommerce插件的WordPress灵活签出字段中的零天漏洞。
该插件有20000多个活动安装,其开发人员已经修复了影响2.3.1及以下版本的未经验证的存储XSS错误。
“在过去几个小时里,该漏洞一直被积极利用,有几个用户遭到黑客攻击。关于这个问题,我还不打算给出太多细节(虽然黑客已经知道了),但是,基本上,因为插件设置可以被任何人访问,无论是否经过身份验证,黑客使用它在WooCommerce的结帐页中注入新的字段和脚本。”专家们发表的文章说。
不幸的是,其他零日漏洞在过去数小时内被黑客锁定。
WordPress安全公司Defiant的专家报告说,WordPress插件中有三个零日漏洞处于主动攻击状态。
零日缺陷是:
订阅服务器+存储的xs影响了安装了100000多个异步JavaScript插件。
一个未经验证的存储在10webmapbuilderforgooglemaps插件中的XSS已经安装了20000多个。
多个订阅者将XSS存储在Modern Events Calendar Lite插件中,该插件安装了40000多个。
WordFence发布的公告称:“昨天早些时候,Woomerce插件的灵活签出字段收到了一个关键更新,以修补零天漏洞,该漏洞允许攻击者修改插件的设置。”。“当我们的威胁情报小组研究这一攻击活动的范围时,我们发现了流行的WordPress插件中另外三个零天漏洞,这些漏洞正被作为这一活动的一部分加以利用。目标插件是AsyncJavaScript、ModernEventsCalendarLite和10WebMapBuilderforGoogleMaps。目前,我们已经联系了每个插件的开发团队,希望能够迅速解决这些问题。”
异步JavaScript和10webmapbuilderforgooglemaps背后的开发团队已经发布了安全更新,以解决零日缺陷。
WordFence继续说:“此攻击活动利用上述插件中的XSS漏洞注入恶意Javascript,从而创建恶意WordPress管理员并安装包含后门的恶意插件。”。“重要的是,使用这些插件的站点管理员必须立即采取措施来减轻这些攻击。”
对于WordPress网站的管理员来说,这不是一个好时期,几天前专家警告称,针对流行的复制器WordPress插件中零天漏洞的新一波攻击浪潮已经来临。
最近,其他WordPress插件的问题成为了头条新闻:
2020年1月–InfiniteWP插件中存在一个绕过身份验证的漏洞,可能会对超过300000个站点造成潜在影响。
2020年1月——超过20万个WordPress站点由于代码片段插件中的高严重性跨站点请求伪造(CSRF)错误而受到攻击。
2020年2月——ThemeGrill演示导入器WordPress主题插件中的一个严重缺陷,有超过200000个活动安装,可被利用来擦除站点并获得对站点的管理员访问权限。
2020年2月–GDPR Cookie同意插件中存在存储跨站点漏洞,可能会影响70万用户。
2020年2月——ThemeREX插件中的一个零日漏洞被疯狂的黑客积极利用,以创建具有管理员权限的用户帐户。
【内容来源于securityaffairs.co】
