BleepingComputer网站披露,WordPress插件TatsuBuilder存在远程代码执行漏洞CVE-2021-25094,黑客利用其进行大规模网络攻击.(该插件安装在约10万个网站上。)据悉,此次大规模攻击浪潮始于2022年5月10日,四天后达到历史高峰,目前仍在进行中。目前约有50,000个网站仍在运行易受攻击的插件版本,尽管运营商已于4月初发布了更新补丁。TatsuBuilder中的漏洞TatsuBuilder是一个流行的WordPress插件,它提供了强大的模板编辑功能,可以直接集成到Web浏览器中。2022年3月28日,研究人员VincentMichel在该插件中发现了一个安全漏洞(编号为CVE-2021-25094),该漏洞随后被公开并披露了概念验证(PoC)利用代码。攻击者可以利用此漏洞在未使用更新版本的TatsuBuilder插件(3.3.12之前的版本)的服务器上执行任意代码。在漏洞被披露后不久,供应商发布了3.3.13版的安全补丁,并于2022年4月7日向用户发送电子邮件,敦促他们应用安全更新。受到攻击的网站数量Wordfence是一家为WordPress插件提供安全解决方案的公司,它一直在持续监控当前的攻击活动。研究人员估计,有20,000到50,000个网站正在运行易受攻击的TatsuBuilder版本。攻击详情根据Wordfence发布的报告,WordPress网站已经遭受了数百万次攻击,2022年5月14日被拦截的攻击尝试多达590万次。随后几天,攻击次数开始下降,但仍处于较高水平。Wordfence检测并拦截的攻击研究人员分析攻击事件后发现,攻击者一直试图将恶意软件投放器(下载器)注入到“wp-content/uploads/typehub/custom/”目录的子文件夹中,并使其成为隐藏文件。下载器名为“.sp3ctra_XO.php”,其MD5哈希值为3708363c5b7bf582f8477b1c82c8cbf8。扩展文件检查功能跳过隐藏文件。此外,Wordfence在报告中强调,超过一百万次攻击仅来自以下三个IP地址。建议站长将这些IP加入黑名单。148.251.183.254;176.9.117.218;217.160.145.62。最后,网络安全专家强烈建议使用TatsuBuilder插件的用户尽快升级到3.3.1版本,避免被攻击的风险。参考文章:https://www.bleepingcomputer.com/news/security/hackers-target-tatsu-wordpress-plugin-in-millions-of-attacks/
