针对超过160万个WordPress站点的网络攻击正在进行中,研究人员发现攻击者使用了四种不同的插件,并利用了Epsilon框架主题中的多个漏洞。他们说,攻击者的目的是完全以管理权限接管该网站。这场运动的范围值得注意。根据Wordfence的分析,该活动来自16,000多个不同的IP地址。头36小时内发生了1370万次攻击。易受攻击的插件研究人员表示,攻击者旨在使用以下插件中任意未经身份验证的选项来更新漏洞。这些攻击主要针对KiwiSocialShare(已于2018年修补)、WordPressAutomatic、PinterestAutomatic和PublishPressCapabilities(均于今年修补)。在周四的分析中,Wordfence研究人员指出,在大多数情况下,攻击者会更新“users_can_register”选项以启用并将“default_role”选项设置为“administrator”,从而使攻击者可以有效地在任何站点上注册为您的身份接管网站。根据Wordfence的说法,攻击活动于12月8日正式开始,可能是在12月6日PublishPressCapabilities插件被打补丁之后,攻击者开始针对任意选项更新漏洞进行大量攻击。安全研究人员指出,其中一些漏洞以前曾被利用过。例如,从12月6日开始,专门针对2018KiwiSocialShare漏洞利用的活动激增。自12月6日以来,WordPressKiwiSocialSharing插件目前被大量利用。该公司当时在一个简短的警报中表示,它可能允许攻击者修改WordPress的wp_options表、创建管理员帐户,或者将博客重定向到另一个网站。受影响的版本如下。KiwiSocialPlugin<=2.0.10-让网站访问者在社交媒体上分享内容。超过10,000次安装。PublishPressCapabilities<=2.3-允许管理员自定义WordPress用户角色的权限,从管理员和编辑到作者、贡献者、订阅者和自定义角色。超过100,000次安装。PinterestAutomatic<=4.14.3-自动将文章中的图像粘贴到Pinterest.com。7,400多次安装。WordPressAutomatic<=3.53.2-自动将内容导入WordPress。28,000多次安装。Epsilon漏洞研究人员表示,攻击者还瞄准了各种Epsilon框架主题中存在的允许远程代码执行(RCE)的函数注入漏洞。Epsilon主题允许网站建设者从不同的设计元素中进行选择,自定义网站的外观和组织。受影响的主题(总共安装在150,000多个站点上)是:Activello<=1.4.0Affluent<1.1.0Allegiant<=1.2.2Antreas<=1.0.2Bonkers<=1.0.4Illdy<=2.1。4MedZoneLite<=1.2.4NatureMagLite-未发布补丁,用户应卸载NewsMag<=2.4.1NewspaperX<=1.3.1PixovaLite<=2.0.5ReginaLite<=2.0.4Shapely<=1.2。7Transcend<=1.1.8这些题目之前也被大规模攻击过。2020年11月,Wordfence观察到一场针对这些工具的探测活动,以测试网站是否存在未打补丁和易受攻击的网站。这涉及从18,000多个IP地址对超过150万个网站发起的750万次攻击。研究人员表示,这一次,攻击者再次尝试更新任意选项,以便通过创建管理员帐户来接管网站。及时打补丁根据Wordfence的说法,由于这些漏洞的严重性以及犯罪分子针对它们发起的攻击的规模,确保您的网站不受损害非常重要。我们强烈建议任何运行这些插件或主题的网站及时更新到补丁版本。只需更新您的插件和主题,您就可以保护您的网站信息免受任何针对这些漏洞的攻击。研究人员建议,要查看网站是否遭到入侵,管理员可以查看网站上的用户帐户以确定是否有任何未经授权的帐户。他们解释说,如果一个网站运行的是这四个插件中任何一个的易受攻击版本,并且存在流氓用户帐户,则该站点很可能是通过这些插件被入侵的。请立即删除任何检测到的用户帐户。他们说,管理员还应确保在http://examplesite[.]com/wp-admin/options-general.php页面上正确设置了“成员资格”设置和“新用户默认角色”。由于WordPress为全球30%以上的网站(总共4.55亿个网站)提供支持,该平台和第三方插件将继续成为网络攻击者的目标,尤其是插件中的漏洞并不少见。例如,在10月份,研究人员在HashthemesDemoImporter插件中发现了一个高危漏洞,该漏洞允许用户完全删除网站内容。本文翻译自:https://threatpost.com/active-attack-takeover-wordpress/176933/如有转载请注明出处。
