攻击者利用废弃的 WordPress 插件,对网站进行后门攻击
攻击者正在使用Eval PHP,一个过时的WordPress插件,通过注入隐蔽的后门来破坏网站。 Eval PHP是一个废弃的WordPress插件,它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码,然后在浏览器中打开页面时执行该代码。 该插件在过去十年中没有更新,被默认为是废弃软件,但它仍然可以通过WordPress的插件库下载。 据网站安全公司Sucuri称,使用Eval PHP在WordPress页面上嵌入恶意代码的迹象在2023年4月激增,现在WordPress插件平均每天有4000个恶意安装。 与传统的后门注入相比,这种方法的主要优点是,Eval PHP可以被重新使用,以重新感染被清理过的网站,而且相对隐蔽。 隐蔽的数据库注入 在过去几周检测到的PHP代码注入为攻击者提供了一个后门,使攻击者对被攻击的网站具有远程代码执行能力。 恶意代码被注入到目标网站的数据库中,特别是 “wp_posts “表中。这使得它更难被发现,因为它逃避了标准的网站安全措施,如文件完整性监控、服务器端扫描等。 为了做到这一点,攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP,允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。 一旦代码运行,则将后门(3e9c0ca6bbe9.php)放置在网站根部。后门的名称在不同的攻击中可能有所不同。 恶意的Eval PHP插件安装是由以下IP地址触发的: 91.193.43.151 79.137.206.177 212.113.119.6 该后门不使用POST请求进行C2通信以逃避检测,相反,它通过cookies和GET请求传递数据,没有可见参数。 Sucuri强调有必要将旧的和未维护的插件除名,因为威胁者很容易滥用这些插件来达到恶意目的,并指出Eval PHP并不是唯一有风险的插件。 在WordPress插件库删除该插件之前,建议网站调整他们的管理面板,保持他们的WordPress安装是最新版本,并使用Web应用防火墙。 转自 Freebuf,原文链接:https://www.freebuf.com/news/364328.html 封面来源于网络,如有侵权请联系删除
影响上千万网站,WordPress 插件曝高危漏洞
黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞,该插件已被超过1200万个网站使用。 Elementor Pro是一款WordPress页面构建器插件,允许用户轻松构建专业外观的网站而无需了解编码知识,具有拖放、主题构建、模板集合、自定义小部件支持以及面向在线商店的WooCommerce构建器等功能。 这个漏洞是由NinTechNet研究员Jerome Bruandet于2023年3月18日发现的,并在本周分享了关于如何利用与WooCommerce一起安装时可以利用此漏洞的技术细节。 该漏洞影响v3.11.6及其之前的所有版本,允许像商店客户或网站成员这样的经过身份验证的用户更改网站设置甚至完全接管网站。 经过身份验证的攻击者可以利用此漏洞创建管理员帐户,方法是启用注册并将默认角色设置为’管理员’、更改管理员电子邮件地址或通过更改siteurl将所有流量重定向到外部恶意网站等多种可能性。 需要注意的是,要利用这个特定漏洞,网站上还必须安装WooCommerce插件,才能激活Elementor Pro上相应的易受攻击模块。 Elementor插件漏洞正在被积极利用 WordPress安全公司PatchStack现在报告称黑客正在积极利用这个Elementor Pro插件漏洞将访问者重定向到恶意域名(”away[.]trackersline[.]com”)或上传后门到被攻击的网站中。 此后门将允许攻击者完全访问WordPress网站,无论是窃取数据还是安装其他恶意代码。PatchStack表示,大多数针对易受攻击的网站的攻击来自以下三个IP地址,建议将它们添加到阻止列表中:193.169.194.63、193.169.195.64和194.135.30.6。如果您的网站使用Elementor Pro,则必须尽快升级到3.11.7或更高版本(最新版本为3.12),因为黑客已经开始针对易受攻击的网站进行攻击。 转自 Freebuf,原文链接:https://www.freebuf.com/news/362558.html 封面来源于网络,如有侵权请联系删除
黑客利用 WPGateway 零日漏洞,28 万网站险遭攻击
Hackernews 编译,转载请注明出处: 最新版本的WordPress付费插件WPGateway中的一个零日漏洞正在被积极利用,可能允许黑客完全接管受影响的网站。 WordPress安全公司Wordfence指出,该漏洞被跟踪为CVE-2022-3180(CVSS 评分:9.8),正在被武器化以将恶意管理员用户添加到运行WPGateway插件的站点。 Wordfence研究员Ram Gall在一份报告中说:“部分插件功能暴露了一个漏洞,允许未经验证的攻击者插入恶意管理员。” WPGateway是站点管理员从统一仪表板上安装、备份和克隆WordPress插件和主题的工具。 运行该插件的网站被入侵的最常见迹象是存在用户名为“rangex”的管理员。 此外,访问日志中出现对“//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1”的请求,表明WordPress网站已被该漏洞锁定,尽管这并不一定意味着成功入侵。 Wordfence表示,在过去30天内,它阻止了超过460万次试图利用该漏洞攻击超过28万个网站的攻击。 由于积极利用和防止其他黑客利用该漏洞,因此未提供有关该漏洞的更多详细信息。在没有补丁的情况下,建议用户从WordPress安装中删除该插件,直到有补丁可用。 几天前,Wordfence警告称,另一个名为BackupBuddy的WordPress插件存在零日漏洞。 同时,Sansec透露,黑客入侵了Magento-WordPress集成供应商FishPig的扩展许可系统,注入恶意代码,旨在安装名为Rekoobe的远程访问木马。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
WordPress 插件曝出零日漏洞,已被积极在野利用
9月9日,WordPress安全公司Wordfence透露,一个名为BackupBuddy的WordPress插件存在一个零日漏洞,正被积极利用。 “未经认证用户可以利用该漏洞下载WordPress网站的任意文件,包括主题文件、页面、帖子、小部件、用户信息和媒体信息。”Wordfence表示,该插件有14万活跃安装。 该漏洞(CVE-2022-31474,CVSS评分:7.5)的影响范围为8.5.8.0至8.7.4.1版本。9月2日发布的8.7.5版本中已经解决了这个问题。 漏洞的根源在于“本地目录复制”功能,根据Wordfence表示,该漏洞是不安全的实现结果,它使未经认证的威胁行为者能够下载服务器上的任意文件。 鉴于该漏洞以被积极再也利用,有关漏洞的其他细节暂不公布。 BackupBuddy插件的开发者iThemes表示:“这个漏洞可以让攻击者查看服务器上任何可以被WordPress装置读取的文件内容。这可能包括WordPress的wp-config.php文件以及敏感文件,如/etc/passwd。” Wordfence指出,针对CVE-2022-31474的攻击始于2022年8月26日,在这段时间内,它已经阻止了近500万次攻击。多数攻击指向/etc/passwd、/wp-config.php、.my.cnf、.accesshash文件。 建议已安装BackupBuddy插件的用户升级到最新版本。如果已经被入侵,建议用户重置数据库密码,更改WordPress Salts,并旋转存储在wp-config.php的API密钥。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344225.html 封面来源于网络,如有侵权请联系删除
针对 WordPress 插件漏洞的攻击数量激增
来自Wordfence的研究人员对近期高频率出现的针对WordPress Page Builder插件的网络攻击发出警告,这些攻击都是试图利用WordPress插件中一个名为Kaswara Modern WPBakery Page Builder Addons的未修补缺陷。 该缺陷被追踪为CVE-2021-24284,在CVSS漏洞评分系统中被评为10.0,此项漏洞与未经授权的任意文件上传有关,可被滥用以获得代码执行,最终使得攻击者能够夺取受影响WordPress网站的控制权。 尽管该漏洞早在2021年4月由WordPress安全公司就已经进行了披露,但至今为止该漏洞仍未得到解决。更为糟糕的是,该插件已经停止更新,WordPress也不再积极维护该插件。 Wordfence表示有超过1000个安装了该插件的网站正在受该公司的保护,而自本月开始该公司平均每天阻止了443,868次攻击尝试。 WordPress Page Builder插件漏洞 这些攻击来自10215个IP地址,其中大部分的攻击企图被缩小到10个IP地址。这些攻击涉及上传一个包含恶意PHP文件的ZIP档案,允许攻击者向受感染的网站上传流氓文件。 该攻击的目的似乎是在其他合法的JavaScript文件中插入代码,并将网站访问者重定向到恶意网站。值得注意的是,Avast和Sucuri已经分别以Parrot TDS和NDSW的名义跟踪了这些攻击。 据不完全统计,约有4000到8000个网站安装了该插件,因此建议使用WordPress插件的用户删除该插件,并寻找其他的插件进行替代,以防止此次针对WordPress插件的网络攻击。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339522.html 封面来源于网络,如有侵权请联系删除
大规模黑客活动破坏了数千个 WordPress 网站
Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如: ./wp-includes/js/jquery/jquery.min.js ./wp-includes/js/jquery/jquery-migrate.min.js “ 根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ” 在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。 据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。” 对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/333044.html 封面来源于网络,如有侵权请联系删除
PHP Everywhere 出现 RCE 漏洞,WordPress 站点受影响
Hackernews 编译,转载请注明出处: 一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。 PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。 以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下: CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码 CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码,以及 CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码 成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。 安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。 “这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。” 值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
黑客伪造 WordPress 插件并植入后门
伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。 消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
WordPress 插件漏洞被黑客用于恶意重定向和弹窗
黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点,或者不断显示弹窗和伪造的订阅信息。 本月初,Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响,此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低,并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现,攻击者们多次利用漏洞注入恶意 JavaScript脚本,引起“恶意重定向,弹窗和虚假订阅消息”。这一方法被用于至少47家网站,并且这一数字仍在增长。 例如,被攻击网站的用户会收到一则以“权力的游戏”为主题的广告,与寻求身份认证的弹窗。 根据 ZScaler 提供的 WhoIs 记录,这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告,以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会,并且WordPress 插件经常是被瞄准的目标之一,因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天,一篇针对 Convert Plus 插件漏洞的文章指出,攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现,并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品,但据统计, Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。 消息来源:Bleepingcomputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
不满支持论坛,安全人员连续公布三个 WordPress 插件漏洞
被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer,目前这两个插件已下架,开发人员建议用户尽快将涉及插件移除。 近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 WordPress 外挂程式的 0day 漏洞,将 10 万个 WordPress 网站于陷于安全风险中。相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为。只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。 被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞,插件开发人员即时将它修补了。 另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。 据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。 这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。 (稿源:开源中国,封面源自网络。)