标签: WordPress

Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

据外媒 3 月 16 日报道,在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。 据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。 目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。 SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。 因此 SafeBreach 提供了的一些缓解措施: ○ 实施 OSEC 监督规则 ○ 拒绝为非提升用户编写权限 ○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。 ○ 在编辑器升级时阻止加载第三方插件 ○ 提供一个手动界面来批准提升的插件加载 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

将近 5 万家网站被感染挖矿劫持脚本 其中八成是 Coinhive

来自 Bad Packets Report 的安全研究专家 Troy Mursch 指出,全球范围内将近 5 万家网站悄然被挖矿劫持版本感染。依靠开源搜索引擎 PublicWWW 的扫描,Mursch 发现至少存在 48,953 家受感染网站,其中至少 7368 家网站基于 WordPress。 研究人员表示,将近 4 万家网站都感染了名为 Coinhive 的挖矿劫持脚本,占比达到了 81%。此外他还指出至少 3 万家网站在去年 11 月开始就已经感染 Coinhive。 而其他 19% 网站大多感染了 Coinhive 的同类脚本,例如 Crypto-Loot, CoinImp, Minr 和 deepMiner。根据进一步的调查,在本次扫描结果中有 2057 家网站感染了 Crypto-Loot,有 4119 家网站感染了 CoinImp, 有 692 家网站感染了 Minr 以及有 2160 家网站感染了 deepMiner。 稿源:cnBeta,封面源自网络;

三年后的今天,数百网站仍潜伏着 WordPress 恶意插件

据外媒 12 月 26 日报道,WordPress 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用。这些恶意插件可能允许攻击者远程执行代码,导致网站信息泄露。目前,WordPress 团队已经提供了应对措施。 WordPress 团队 2014 年初披露 14 个 WordPress 插件存在恶意代码,能够允许攻击者在被劫持的网站上插入 SEO 垃圾邮件链接,从而通过邮件获得该网站的 URL 和其他详细信息。直至 2014 年底,官方才从目录中删除了这些恶意插件。 WordPress 恶意插件死灰复燃 WordPress 团队最近发现官方插件目录被人为更改,导致原本已屏蔽的旧插件页面仍然可见,并且所有插件都包含有恶意代码的页面。这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们。 为了保护用户免受恶意插件的侵害,一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者,但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于,它造成了一种道德和法律上的两难境地:删除插件能够保护网站免受黑客攻击,但同时也可能对网站一些功能造成破坏。 目前,为了抵御一些主要的安全威胁,WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本,并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全,同时也能保证网站功能不受影。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

JS 第三方库 “jQuery” 的官方博客遭黑客篡改,代码库暂不受影响

据外媒 10 月 26 日报道,继 JS 挖矿引擎 CoinHive 被黑后, jQuery 的官方博客(blog.jquery.com)于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前,虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵,但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章(如下图)。 调查显示,由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统(CMS),因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示,由于数百万网站直接由 jQuery 服务器调用脚本,因此该攻击活动可能导致的后果更为糟糕。另外,这已经不是 jQuery 网站第一次受到攻击。据报道,jQuery 主要域名(jQuery.com)曾于 2014 年遭黑客入侵,其网站访问者被重定向至恶意页面。 原文作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WordPress 插件出售后被加入后门,影响逾 20 万网站正常使用

据外媒报道,一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过,好在用户投诉之后,WordPress.org 将其移除。 据悉,拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后,再次被投诉再次被移除。随后,拥有者又再次设法发布新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。 稿源:solidot奇客,封面源自网络;

WordPress 宣布加入 HackerOne 平台:借助白帽力量挖掘漏洞

经历数年的发展,WordPress 凭借着丰富的插件主题和简洁的操作迅速成为全球最受欢迎的博客平台,在全球顶级 1000 万个网站中的占比超过 28%。受欢迎往往也意味着容易成为黑客攻击的目标,为进一步提升平台安全性能,WordPress 近日宣布加入 HackerOne 平台,希望借助白帽子的力量来发掘平台上的漏洞。 HackerOne 是主要面向安全专家的平台,他们能够安全和负责的报告发现的漏洞。研究专家能够根据漏洞的危险程度,来获得各种不同的奖金。事实上 WordPress 公司早在一年前就启动了 BUG 悬赏项目,不过此前主要为私人承办,目前已向 7 名漏洞报告者提供了 3700 美元的奖励。 此外,包括 WordPress、BuddyPress、bbPress、GlotPress、WP-CLI 以及网站都纳入到 HackerOne 项目中,白帽黑客可以使用 SQL 注入、远程代码执行与跨网站脚本等方式对其攻击从而发现 WordPress 旗下产品的漏洞。 稿源:cnBeta,封面源自网络

黑客伪造 WordPress 核心域名、非法窃取 Cookie 数据

据外媒 10 日报道,安全公司 Sucuri 发现黑客利用一系列恶意软件将恶意代码注入合法 JavaScript 文件,伪装 WordPress 核心域名、窃取 cookie 数据及非法收集用户信息。 据悉,黑客通过误植域名( Typosquatting )或劫持 URL 技术制造虚假域名,而该技术通常依赖于用户在网络浏览器中错误输入 URL 。由于伪造网站被设计成一个看似合法的 WordPress 域名,所以代码显示并无异常。 调查显示,该恶意代码的条件语句并不包括搜索引擎抓取工具中用户代理的 cookie 数据,旨在帮助黑客从抓取工具与机器人中筛选出有价值 cookie。据悉,一旦确定数据有效,该脚本就会将其发送至恶意网站( code.wordprssapi [.] com )。此外,黑客除了在 WordPress JavaScript 文件底部注入恶意代码以外,还利用另一个 WordPress 漏洞注入混淆代码、恶意离线 WordPress 网站 。 研究人员表示,目前尚且无法确定恶意网站幕后黑手,而黑客在权限被撤销之前可以伪装用户执行权限内任何操作。在此,有必要提醒网站管理员除审核网站代码外还需仔细检查网站域名以确保不向第三方发送敏感数据(如 cookie 或密码)。 原作者:Chris Brook, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

国际刑警组织查获亚洲逾 9000 台 C&C 服务器,黑客利用 WordPress 插件漏洞展开攻击

据 securityaffairs 报道,今年国际刑警组织查获并关闭了亚洲地区逾 9,000 台指挥与控制( C&C )服务器,其中多数是被黑客利用 WordPress 插件漏洞进行入侵的。 国际刑警组织在 7 家网络安全公司的支持下联合展开行动,包括 Trend Micro、Cyber Defence Institute、British Telecom、Kaspersky Lab、Booz Allen Hamilton、Palo Alto Networks 与 Fortinet。据悉,调查人员发现黑客已攻击部分地方政府机构服务器操作,并用其作为僵尸网络指挥与控制的系统。执法机构在印度尼西亚、马来西亚、缅甸、菲律宾、新加坡、泰国与越南查获 9,000 台 C&C 服务器与数百个受损网站,其中包括政府门户网站。 国际刑警组织网络融合中心的专家整合安全公司提供的情报信息制定出 23 个网络行动报告,其中强调了网络犯罪行为的各种威胁与类型,确定并提议国家政府当即采取行动。此外,专家还发现黑客主要针对金融机构,发动分布式拒绝服务(DDoS )、传播 勒索软件以及散发垃圾邮件 。有趣的是,黑客通常使用 WordPress 插件漏洞入侵多数受损服务器。 目前,国际刑警已确定近 270 个网站在开发应用程序漏洞中感染恶意代码,其中多个政府网站可能包含公民个人信息。此外,他们已确定部分网络钓鱼网站运营商并将实施抓捕行动。 IGCI 执行董事 Noboru Nakatani 表示, 该项行动是一个很好的例子,通过网络安全公司与国家机构之间良好的合作,展示了如何有效地打击网络犯罪。国际刑警组织对于此类犯罪行为表示,一律予以严惩。 原作者:Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 Sathurbot 发动分布式 WordPress 密码暴力破解

据外媒近日报道,安全专家监测到一种针对 WordPress 安装程序的新型威胁:攻击者可通过僵尸网络 Sathurbot 爆破 WordPress 帐户并利用被入侵网站进行恶意软件传播。 Sathurbot 采取种子传播机制。被入侵网站将被用于托管伪造的电影与软件种子。调查表明,Sathurbot 可自行更新并下载启动其他可执行文件。受害者在搜索电影或下载软件时会收到含有可执行文件的恶意链接,点击该链接可令系统当即加载 Sathurbot DLL,致使受害者机器完全受外界控制。此外,Sathurbot 还执行黑帽 SEO 技术,主要通过搜索引擎提供恶意链接。 据悉,每当成功感染目标网站,恶意软件就会将结果报告至 C&C 服务器并连接监听端口进行通信。Sathurbot 在等待其他指令的同时定期与 C&C 服务器取得联系。机器人将收集到的域名发送至 C&C 服务器,攻击者使用不同机器人尝试对同一网站的不同登录凭据展开分布式 WordPress 密码攻击。由于每个机器人在对每个网站进行一次登陆尝试后即转移至下一个域名,可以有效避免遭受拦截。安全专家表示,攻击者还倾向将目标锁定在运行 CMS 的其他网站,如 Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。 机器人通过集成 libtorrent 库实现恶意软件传播,但并非所有机器人都执行此功能,其中一些仅作为Web爬虫或用于网站爆破。近期,安全专家在对日志与系统文件进行检查后推测,Sathurbot 至少从 2016 年 6 月起就一直处于活跃状态,迄今已感染逾 20,000 台计算机。 原作者:Pierluigi Paganini , 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WordPress 4.7.3 修复六处安全问题,但 CSRF 漏洞仍未修复

WordPress 已经发布 WordPress 4.7.3 版本修复了六个安全问题,其中包括三个跨站点脚本( XSS )漏洞,但 2016 年 7 月发现的 CSRF 漏洞仍未修复。 WordPress 4.7.3 发行版修复的漏洞列表: 1、通过媒体文件元数据( media file metadata )的 XSS 跨站脚本攻击。 2、控制字符可以欺骗重定向网址校验。 3、管理员使用插件删除功能可能会删除非目标文件。 4、YouTube embeds 视频网址引起 XSS 跨站脚本攻击。 5、分类术语名称(引起的 XSS 跨站脚本攻击。 6、跨站请求伪造(CSRF)导致的滥用服务器资源。 但 2016 年 7 月发现的一个 CSRF 漏洞仍未修复,该漏洞允许攻击者窃取 FTP 和 SSH 登录凭据。安全专家 Cengiz Han Sahin 解释说这个漏洞可能有很大的影响,但是漏洞利用的概率很低。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。