发布时间:2024-05-23 浏览次数: 次
一、概述
黑客已经开始针对WordPress的WP自动插件中的一个严重漏洞,以创建具有管理权限的用户帐户,并为长期访问设置后门。
WP Automatic目前安装在30000多个网站上,允许管理员自动从各种在线来源导入内容(如文本、图像、视频),并在其WordPress网站上发布。
二、被利用的漏洞
被利用的漏洞被确定为CVE-2024-27956,严重性得分为9.9/10。PatchStack漏洞缓解服务的研究人员于3月13日公开披露了这一问题,并将其描述为影响3.9.2.0之前的WP Automatic版本的SQL注入问题。
问题在于插件的用户身份验证机制,可以绕过该机制向网站的数据库提交SQL查询。黑客可以使用特制的查询在目标网站上创建管理员帐户。
三、超过550万次攻击尝试
自PatchStack披露安全问题以来,Automattic的WPScan观察到超过550万次试图利用该漏洞的攻击,其中大部分记录在3月31日。
WPScan报告称,在获得对目标网站的管理员访问权限后,攻击者会创建后门并混淆代码,使其更难找到。
WPScan的报告中写道:“一旦WordPress网站被泄露,攻击者就会通过创建后门和混淆代码来确保其访问寿命。”。
为了防止其他黑客利用同样的问题危害网站并避免被发现,黑客还将易受攻击的文件重命名为“csv.php”
一旦他们控制了网站,威胁行为者通常会安装额外的插件,允许上传文件和编辑代码。
WPScan提供了一组折衷指标,可以帮助管理员确定他们的网站是否被黑客入侵。
管理员可以通过查找以“xtw”开头的管理员帐户以及名为web.php和index.php的文件来检查黑客接管网站的迹象,这些文件是最近活动中植入的后门。
为了降低被破坏的风险,研究人员建议WordPress网站管理员将WP自动插件更新到3.92.1或更高版本。
WPScan还建议网站所有者经常创建网站备份,以便在出现问题时快速安装干净的副本。