[[441096]]

一場針對160多萬個WordPress網(wǎng)站的網(wǎng)絡(luò)攻擊正在進行，研究人員發(fā)現(xiàn)有攻擊者曾數(shù)萬次利用四個不同的插件和幾個Epsilon框架主題的漏洞進行攻擊。

他們說，攻擊者的目的是為了利用管理權(quán)限完全接管網(wǎng)站。

此次攻擊活動的范圍非常值得注意。根據(jù)Wordfence的分析，該攻擊活動來自16,000多個不同的IP地址。在前36小時內(nèi)就有1370萬次攻擊。

含有漏洞的插件

研究人員說，攻擊者的目的是利用以下插件中的未經(jīng)認證的任意選項更新漏洞。主要是針對Kiwi Social Share(2018年打了補丁)，WordPress Automatic、Pinterest Automatic和PublishPress Capabilities(都在今年打了補丁)進行攻擊。

Wordfence研究人員在周四的分析中指出，在大多數(shù)情況下，攻擊者會將'users_can_register'選項更新為啟用，并將'default_role'選項設(shè)置為`administrator'，這使得攻擊者有可能以管理員的身份在任何網(wǎng)站上進行注冊，有效地接管網(wǎng)站。

據(jù)Wordfence稱，該攻擊活動于12月8日正式開始，可能是在12月6日PublishPress Capabilities插件打了補丁后，攻擊者開始對任意選項更新漏洞進行大量的攻擊。

安全研究人員指出，其中一些漏洞以前就被利用過。例如，從12月6日開始，專門針對2018年Kiwi Social Share漏洞的活動激增。

WordPress Kiwi Social Sharing插件目前自12月6日起就開始大量被利用。該公司當時在一份簡短的警報中說，它允許攻擊者修改WordPress的wp_options表，創(chuàng)建管理員賬戶，或者，將博客重定向到另一個網(wǎng)站。

受影響的版本如下。

Kiwi Social Plugin <= 2.0.10 - 讓網(wǎng)站訪問者在社交媒體上分享內(nèi)容。10,000+安裝。

PublishPress Capabilities <= 2.3 - 允許管理員定制WordPress用戶角色的權(quán)限，從管理員和編輯到作者、貢獻者、訂閱者和自定義角色。100,000以上的安裝。

Pinterest Automatic <= 4.14.3 - 將文章中的圖片自動粘貼到Pinterest.com。7,400多個安裝。

WordPress Automatic <= 3.53.2 - 自動將內(nèi)容導(dǎo)入到WordPress。28,000多個安裝。

Epsilon漏洞

研究人員說，攻擊者還針對各種Epsilon框架主題中存在的功能注入漏洞進行利用，該漏洞允許遠程代碼執(zhí)行(RCE)。Epsilon主題允許網(wǎng)站建設(shè)者選擇不同的設(shè)計元素，自定義網(wǎng)站的外觀和組織方式。

受影響的主題(總共安裝在150,000多個網(wǎng)站上)是：

• Activello <=1.4.0
• Affluent<1.1.0
• Allegiant <=1.2.2
• Antreas <=1.0.2
• Bonkers <=1.0.4
• Illdy <=2.1.4
• MedZone Lite <=1.2.4
• NatureMag Lite - 沒有發(fā)布補丁，用戶應(yīng)及時卸載
• NewsMag <=2.4.1
• Newspaper X <=1.3.1
• Pixova Lite <=2.0.5
• Regina Lite <=2.0.4
• Shapely <=1.2.7
• Transcend <=1.1.8

這些主題以前也曾被大規(guī)模的攻擊。2020年11月，Wordfence觀察到一個針對這些工具的 探測攻擊行動，目的是測試網(wǎng)站是否未打補丁和有漏洞。這涉及對150多萬個網(wǎng)站的750萬次攻擊，來自18000多個IP地址。

研究人員說，這一次，攻擊者試圖再次更新任意選項，以便通過創(chuàng)建管理員賬戶來接管一個網(wǎng)站。

及時打補丁

根據(jù)Wordfence的說法，基于這些漏洞的嚴重性以及犯罪分子針對它們展開的大規(guī)模攻擊活動，要確保你的網(wǎng)站不被破壞是非常重要的。我們強烈建議任何運行這些插件或主題的網(wǎng)站及時更新到打過補丁的版本。只要更新插件和主題，就能確保你的網(wǎng)站信息安全，不受任何針對這些漏洞的攻擊。

研究人員建議，審查一個網(wǎng)站是否已經(jīng)被破壞，管理員可以審查網(wǎng)站上的用戶賬戶，確定是否有任何未經(jīng)授權(quán)的賬戶。

他們解釋說，如果網(wǎng)站正在運行四個插件中任何一個含有漏洞的版本，并且有一個流氓用戶賬戶存在，那么該網(wǎng)站很可能是通過這些插件被入侵的。請立即刪除檢測到的任何用戶賬戶。

他們說，管理員還應(yīng)該在http://examplesite[.]com/wp-admin/options-general.php頁面，確保 "會員" 設(shè)置和 "新用戶默認角色 "都是正確設(shè)置。

由于WordPress為全球30%以上的網(wǎng)站提供支持(總共4.55億個網(wǎng)站)，該平臺和第三方插件將繼續(xù)成為網(wǎng)絡(luò)攻擊者的一個攻擊目標，尤其是插件的漏洞并不罕見。例如，10月，研究人員在Hashthemes Demo Importer插件中就發(fā)現(xiàn)了一個高危漏洞，它允許用戶將網(wǎng)站的內(nèi)容刪除干凈。

本文翻譯自：https://threatpost.com/active-attack-takeover-wordpress/176933/如若轉(zhuǎn)載，請注明原文地址。