黑客利用 WPGateway 零日漏洞,28 万网站险遭攻击
Hackernews 编译,转载请注明出处: 最新版本的WordPress付费插件WPGateway中的一个零日漏洞正在被积极利用,可能允许黑客完全接管受影响的网站。 WordPress安全公司Wordfence指出,该漏洞被跟踪为CVE-2022-3180(CVSS 评分:9.8),正在被武器化以将恶意管理员用户添加到运行WPGateway插件的站点。 Wordfence研究员Ram Gall在一份报告中说:“部分插件功能暴露了一个漏洞,允许未经验证的攻击者插入恶意管理员。” WPGateway是站点管理员从统一仪表板上安装、备份和克隆WordPress插件和主题的工具。 运行该插件的网站被入侵的最常见迹象是存在用户名为“rangex”的管理员。 此外,访问日志中出现对“//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1”的请求,表明WordPress网站已被该漏洞锁定,尽管这并不一定意味着成功入侵。 Wordfence表示,在过去30天内,它阻止了超过460万次试图利用该漏洞攻击超过28万个网站的攻击。 由于积极利用和防止其他黑客利用该漏洞,因此未提供有关该漏洞的更多详细信息。在没有补丁的情况下,建议用户从WordPress安装中删除该插件,直到有补丁可用。 几天前,Wordfence警告称,另一个名为BackupBuddy的WordPress插件存在零日漏洞。 同时,Sansec透露,黑客入侵了Magento-WordPress集成供应商FishPig的扩展许可系统,注入恶意代码,旨在安装名为Rekoobe的远程访问木马。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
WordPress 插件曝出零日漏洞,已被积极在野利用
9月9日,WordPress安全公司Wordfence透露,一个名为BackupBuddy的WordPress插件存在一个零日漏洞,正被积极利用。 “未经认证用户可以利用该漏洞下载WordPress网站的任意文件,包括主题文件、页面、帖子、小部件、用户信息和媒体信息。”Wordfence表示,该插件有14万活跃安装。 该漏洞(CVE-2022-31474,CVSS评分:7.5)的影响范围为8.5.8.0至8.7.4.1版本。9月2日发布的8.7.5版本中已经解决了这个问题。 漏洞的根源在于“本地目录复制”功能,根据Wordfence表示,该漏洞是不安全的实现结果,它使未经认证的威胁行为者能够下载服务器上的任意文件。 鉴于该漏洞以被积极再也利用,有关漏洞的其他细节暂不公布。 BackupBuddy插件的开发者iThemes表示:“这个漏洞可以让攻击者查看服务器上任何可以被WordPress装置读取的文件内容。这可能包括WordPress的wp-config.php文件以及敏感文件,如/etc/passwd。” Wordfence指出,针对CVE-2022-31474的攻击始于2022年8月26日,在这段时间内,它已经阻止了近500万次攻击。多数攻击指向/etc/passwd、/wp-config.php、.my.cnf、.accesshash文件。 建议已安装BackupBuddy插件的用户升级到最新版本。如果已经被入侵,建议用户重置数据库密码,更改WordPress Salts,并旋转存储在wp-config.php的API密钥。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344225.html 封面来源于网络,如有侵权请联系删除
针对 WordPress 插件漏洞的攻击数量激增
来自Wordfence的研究人员对近期高频率出现的针对WordPress Page Builder插件的网络攻击发出警告,这些攻击都是试图利用WordPress插件中一个名为Kaswara Modern WPBakery Page Builder Addons的未修补缺陷。 该缺陷被追踪为CVE-2021-24284,在CVSS漏洞评分系统中被评为10.0,此项漏洞与未经授权的任意文件上传有关,可被滥用以获得代码执行,最终使得攻击者能够夺取受影响WordPress网站的控制权。 尽管该漏洞早在2021年4月由WordPress安全公司就已经进行了披露,但至今为止该漏洞仍未得到解决。更为糟糕的是,该插件已经停止更新,WordPress也不再积极维护该插件。 Wordfence表示有超过1000个安装了该插件的网站正在受该公司的保护,而自本月开始该公司平均每天阻止了443,868次攻击尝试。 WordPress Page Builder插件漏洞 这些攻击来自10215个IP地址,其中大部分的攻击企图被缩小到10个IP地址。这些攻击涉及上传一个包含恶意PHP文件的ZIP档案,允许攻击者向受感染的网站上传流氓文件。 该攻击的目的似乎是在其他合法的JavaScript文件中插入代码,并将网站访问者重定向到恶意网站。值得注意的是,Avast和Sucuri已经分别以Parrot TDS和NDSW的名义跟踪了这些攻击。 据不完全统计,约有4000到8000个网站安装了该插件,因此建议使用WordPress插件的用户删除该插件,并寻找其他的插件进行替代,以防止此次针对WordPress插件的网络攻击。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339522.html 封面来源于网络,如有侵权请联系删除
大规模黑客活动破坏了数千个 WordPress 网站
Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如: ./wp-includes/js/jquery/jquery.min.js ./wp-includes/js/jquery/jquery-migrate.min.js “ 根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ” 在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。 据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。” 对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/333044.html 封面来源于网络,如有侵权请联系删除
PHP Everywhere 出现 RCE 漏洞,WordPress 站点受影响
Hackernews 编译,转载请注明出处: 一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。 PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。 以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下: CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码 CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码,以及 CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码 成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。 安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。 “这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。” 值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
黑客伪造 WordPress 插件并植入后门
伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。 消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
WordPress 插件漏洞被黑客用于恶意重定向和弹窗
黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点,或者不断显示弹窗和伪造的订阅信息。 本月初,Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响,此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低,并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现,攻击者们多次利用漏洞注入恶意 JavaScript脚本,引起“恶意重定向,弹窗和虚假订阅消息”。这一方法被用于至少47家网站,并且这一数字仍在增长。 例如,被攻击网站的用户会收到一则以“权力的游戏”为主题的广告,与寻求身份认证的弹窗。 根据 ZScaler 提供的 WhoIs 记录,这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告,以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会,并且WordPress 插件经常是被瞄准的目标之一,因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天,一篇针对 Convert Plus 插件漏洞的文章指出,攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现,并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品,但据统计, Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。 消息来源:Bleepingcomputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
不满支持论坛,安全人员连续公布三个 WordPress 插件漏洞
被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer,目前这两个插件已下架,开发人员建议用户尽快将涉及插件移除。 近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 WordPress 外挂程式的 0day 漏洞,将 10 万个 WordPress 网站于陷于安全风险中。相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为。只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。 被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞,插件开发人员即时将它修补了。 另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。 据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。 这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。 (稿源:开源中国,封面源自网络。)
WordPress 插件漏洞被利用 近 20 万站点还没打补丁
攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞,以入侵托管站点,影响站点数量众多。 前几天我们才报导过流量排名前一千万网站,三分之一使用 WordPress,这么广泛的采用,一旦其中有安全漏洞被利用,影响会相当广。 被利用的两个插件,其中之一是 Easy WP SMTP,最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击,数据显示有 300 000 次下载安装;另一个插件是 Social Warfare,已经被安装了 70 000 次,它的利用是由另一家安全公司 Defiant 披露的。 两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导,有两个竞争组织正在实施攻击,其中一个在创建管理员帐户后暂时停止操作,而另一个组织则会进行后续步骤,其会使用虚假帐户更改站点,将访问者重定向到恶意站点。 有趣的是,这两个攻击组织使用了相同的代码用于创建管理员账户,而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。 据 arstechnica 的报导,虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁,但是下载数据表明许多易受攻击的网站尚未安装更新,Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次,而 Social Warfare 补丁自周五发布以来,也仅被下载了少于 20 000 次。 安全事大,如果你的网站托管在 WorPress 上,并且使用了这两个插件中的任一一个,那么需要确保已将其更新为:Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。 (稿源:开源中国社区,封面源自网络。)
WordPress 曝出插件漏洞 允许任何用户接管网站
使用 WordPress 管理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分,嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。 然而最新曝光的漏洞,允许任何能够在上创建新账户的用户,利用它来访问“通常只有管理员才能解除的设置”。换言之,别有用心的攻击者,可以通过该插件来接管网站。 安全研究人员指出,截止目前,WPBrigade 简易社交分享按钮插件的下载量,早已超过 50 万次。WordPress 声称,其已被超过 4 万网站采用。 Simple Social Buttons Exploit PoC by WebARX:https://player.youku.com/embed/XNDA1NzY4NDAwNA== 这意味着平台上搭建的诸多网站,可能已经受到了该漏洞的影响。万幸的是,安全研究人员已于上周向 WordPress 汇报了这个问题,而官方在第二天就已经发布了更新。 当然,为了确保安全,请务必将该插件升级到最新的 2.0.22 版本。 稿源:cnBeta,封面源自网络;