黑客正積極利用一個關(guān)鍵的遠(yuǎn)程代碼執(zhí)行漏洞，允許未經(jīng)驗證的攻擊者在運(yùn)行易受攻擊的File Manager插件版本的WordPress站點上載腳本并執(zhí)行任意代碼。

9月1日上午，塞拉沃的待命安全官員Ville Korhonen第一個發(fā)現(xiàn)了這個漏洞，并且發(fā)現(xiàn)了一個事實，即威脅參與者已經(jīng)在試圖利用它進(jìn)行攻擊，將惡意PHP文件上傳到易受攻擊的網(wǎng)站上。

在Korhonen發(fā)現(xiàn)攻擊并向插件開發(fā)人員報告漏洞后的幾個小時內(nèi)，F(xiàn)ile Manager的開發(fā)人員在6.9版本的發(fā)布中修補(bǔ)了這個嚴(yán)重的缺陷。

文件管理器插件目前安裝在超過700000個WordPress站點上，該漏洞影響6.0到6.8之間的所有版本。

[[340565]]

已經(jīng)探測到45萬個地點

Wordfence的研究人員也在9月1日早上從Arsys的Gonzalo Cruz那里得知了這一持續(xù)的攻擊，他為他們提供了一個有效的概念證明，讓他們能夠研究如何阻止攻擊。

WordPress安全公司后來表示，Wordfence Web應(yīng)用防火墻在過去幾天內(nèi)能夠阻止超過45萬次的攻擊嘗試。

Wordfence說，黑客試圖將圖片中隱藏的網(wǎng)頁外殼的PHP文件上傳到wp content/plugins/wp file manager/lib/files/文件夾。

他們還發(fā)現(xiàn)他們首先用空文件探測潛在的易受攻擊的站點，并且只有在攻擊成功的情況下，才試圖注入惡意腳本。

NinTechNet也報告了這些攻擊企圖，稱攻擊者試圖上傳一個惡意的hardfork.php文件允許他們在WordPress站點的/wp admin/admin中注入惡意代碼的腳本

超過30萬個網(wǎng)站仍然容易受到攻擊

Wordfence的信息安全主管Chloe Chamberland解釋說：“像這樣的文件管理器插件可以讓攻擊者直接從WordPress儀表板操作或上傳他們選擇的任何文件，有可能讓他們在網(wǎng)站的管理區(qū)域升級權(quán)限。”。

“例如，攻擊者可以使用泄露的密碼訪問站點的管理區(qū)域，然后訪問此插件并上載一個webshell以進(jìn)一步枚舉服務(wù)器，并可能使用另一個漏洞升級其攻擊。

昨天上午，文件管理器的開發(fā)團(tuán)隊通過文件管理器6.9的發(fā)布解決了這個被積極利用的關(guān)鍵漏洞。

然而，根據(jù)WordPress插件門戶網(wǎng)站上提供的歷史下載數(shù)據(jù)，在過去兩天內(nèi)，該插件僅被下載了126000次，包括更新和新安裝，導(dǎo)致57.4萬個WordPress網(wǎng)站暴露在外。

幸運(yùn)的是，在安裝了活動文件管理器插件的所有站點中，只有51.5%的站點(總計超過300000個站點)正在運(yùn)行一個易受攻擊的版本，攻擊者可以在成功利用該漏洞后執(zhí)行任意代碼。

建議文件管理器用戶盡快將插件更新到6.9版本，以阻止正在進(jìn)行的攻擊。