标签: WordPress

大规模黑客活动破坏了数千个 WordPress 网站

Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如: ./wp-includes/js/jquery/jquery.min.js ./wp-includes/js/jquery/jquery-migrate.min.js “ 根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ” 在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。 据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。” 对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/333044.html 封面来源于网络,如有侵权请联系删除

PHP Everywhere 出现 RCE 漏洞,WordPress 站点受影响

Hackernews 编译,转载请注明出处: 一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。 PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。 以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下: CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码 CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码,以及 CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码 成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。 安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。 “这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。” 值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客伪造 WordPress 插件并植入后门

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WordPress 插件漏洞被黑客用于恶意重定向和弹窗

黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点,或者不断显示弹窗和伪造的订阅信息。 本月初,Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响,此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低,并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现,攻击者们多次利用漏洞注入恶意 JavaScript脚本,引起“恶意重定向,弹窗和虚假订阅消息”。这一方法被用于至少47家网站,并且这一数字仍在增长。 例如,被攻击网站的用户会收到一则以“权力的游戏”为主题的广告,与寻求身份认证的弹窗。   根据 ZScaler 提供的 WhoIs 记录,这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告,以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会,并且WordPress 插件经常是被瞄准的目标之一,因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天,一篇针对 Convert Plus 插件漏洞的文章指出,攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现,并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品,但据统计,  Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。   消息来源:Bleepingcomputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

不满支持论坛,安全人员连续公布三个 WordPress 插件漏洞

被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer,目前这两个插件已下架,开发人员建议用户尽快将涉及插件移除。 近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 WordPress 外挂程式的 0day 漏洞,将 10 万个 WordPress 网站于陷于安全风险中。相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为。只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。 被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞,插件开发人员即时将它修补了。 另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。 据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。 这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。   (稿源:开源中国,封面源自网络。)

WordPress 插件漏洞被利用 近 20 万站点还没打补丁

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞,以入侵托管站点,影响站点数量众多。 前几天我们才报导过流量排名前一千万网站,三分之一使用 WordPress,这么广泛的采用,一旦其中有安全漏洞被利用,影响会相当广。 被利用的两个插件,其中之一是 Easy WP SMTP,最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击,数据显示有 300 000 次下载安装;另一个插件是 Social Warfare,已经被安装了 70 000 次,它的利用是由另一家安全公司 Defiant 披露的。 两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导,有两个竞争组织正在实施攻击,其中一个在创建管理员帐户后暂时停止操作,而另一个组织则会进行后续步骤,其会使用虚假帐户更改站点,将访问者重定向到恶意站点。 有趣的是,这两个攻击组织使用了相同的代码用于创建管理员账户,而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。 据 arstechnica 的报导,虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁,但是下载数据表明许多易受攻击的网站尚未安装更新,Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次,而 Social Warfare 补丁自周五发布以来,也仅被下载了少于 20 000 次。 安全事大,如果你的网站托管在 WorPress 上,并且使用了这两个插件中的任一一个,那么需要确保已将其更新为:Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。     (稿源:开源中国社区,封面源自网络。)

WordPress 曝出插件漏洞 允许任何用户接管网站

使用 WordPress 管理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分,嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。 然而最新曝光的漏洞,允许任何能够在上创建新账户的用户,利用它来访问“通常只有管理员才能解除的设置”。换言之,别有用心的攻击者,可以通过该插件来接管网站。 安全研究人员指出,截止目前,WPBrigade 简易社交分享按钮插件的下载量,早已超过 50 万次。WordPress 声称,其已被超过 4 万网站采用。 Simple Social Buttons Exploit PoC by WebARX:https://player.youku.com/embed/XNDA1NzY4NDAwNA== 这意味着平台上搭建的诸多网站,可能已经受到了该漏洞的影响。万幸的是,安全研究人员已于上周向 WordPress 汇报了这个问题,而官方在第二天就已经发布了更新。 当然,为了确保安全,请务必将该插件升级到最新的 2.0.22 版本。   稿源:cnBeta,封面源自网络;

WordPress 与 WooCommerce 爆漏洞,大量网站受影响

RIPS Technologies 本周指出,WordPress 在权限处理方面的设计漏洞加上 WooCommerce 的文件删除漏洞,将允许黑客扩展权限,控制整个 WordPress 站点并执行远程程序攻击。 WordPress 和 WooCommerce 都是 Automattic 开发的产品。 WordPress 是一个开源内容管理系统(CMS),在 CMS 市场中占有 60% 的市场份额。WooCommerce,它是一个免费的电子商务插件,全球有超过400万的安装,并有 30% 的在线商店使用该插件。 RIPS 安全研究员 Simon Scannell 指出,WooCommerce 包含一个文件删除漏洞,允许商店经理(Shop Manager)删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php 文件并导致服务阻塞,但如果碰上 WordPress 权限处理漏洞时,可以使黑客控制整个站点。 WooCommerce 提供三种角色权限,即客户,商店经理和管理员。 商店经理主要负责管理客户,产品和订单。 在 WooCommerce 设置商店经理的角色后,WordPress 为其提供了 edit_users 的功能,并且此角色存储在 WordPress 存储库中,但 edit_users 的默认值可以编辑所有用户数据,包括管理员。 为了防止商店经理更改管理员数据,每当调用 edit_users 时,WooCommerce 就会添加元数据以限制 edit_users 的能力。 它只允许修改客户或产品数据,而不得编辑管理员数据。 但是,黑客或拥有商店经理权限的人可以使用 WooCommerce 的文件删除漏洞直接删除 WooCommerce;当 WooCommerce 关闭时,WordPress 不会删除商店经理的许可,同时 WooCommerce 对该权限所设置的限制也会失效,这时商店经理可以修改管理员数据,获得系统的管理权限,直接接管整个网站,并执行任何程序。   稿源:开源中国,封面源自网络;

PHP 现反序列化漏洞,或使 WordPress 遭远程攻击

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。 序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。 安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。 Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。 Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。   稿源:开源中国社区,封面源自网络;

黑客找到新方法在 WordPress 站点中加载后门插件

为了攻击WordPress网站,挂上后门插件,黑客想出了一种新的方法,这种新方法需要用到那些弱口令WordPress.com账号和Jetpack插件。整个攻击过程非常复杂,为了攻击网站,黑客需要经历不同步骤,这也意味着用户的防御方法非常之多。 尽管如此,根据WordPress网站安全公司Wordfence的报告以及WordPress.org官方论坛上的一些帖子,有很多用户还是被挂上了后门插件,攻击大都发生在5月16日以后。攻击的第一步包括黑客从公开漏洞中获取用户名和密码,并尝试登录WordPress.com帐户。如果使用了社工库里已经暴露的密码,就可能受到攻击。第二个攻击要素则是Jetpack,这是一款非常普遍的wordpress插件,黑客利用这款插件进一步在网站上安装后门。   稿源:Freebuf,封面源自网络;