Bleeping Computer 網(wǎng)站披露， WordPress 插件 Tatsu Builder 中存在遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2021-25094，黑客正在利用其進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊。(該插件安裝在大約 10 萬個網(wǎng)站上。)

據(jù)悉，大規(guī)模攻擊浪潮于 2022 年 5 月 10 日開始，四天之后達(dá)到歷史高峰，目前仍在進(jìn)行中。盡管四月初，運營商已經(jīng)發(fā)布了一個更新補(bǔ)丁，但是現(xiàn)階段約50000個網(wǎng)站仍在運行該插件的易受攻擊版本。

Tatsu Builder 中存在漏洞

Tatsu Builder 是一個流行的 WordPress 插件，主要提供強(qiáng)大的模板編輯功能，能夠直接集成到網(wǎng)絡(luò)瀏覽器中。

2022 年 3 月 28 日，研究人員 Vincent Michel 發(fā)現(xiàn)插件中存在安全漏洞( 追蹤為CVE-2021-25094)，隨后公之于眾，并披露了概念驗證(PoC)利用代碼。

在未使用 Tatsu Builder 插件更新版本的服務(wù)器中，攻擊者能夠利用該漏洞執(zhí)行任意代碼( 3.3.12 版本之前)。

漏洞披露不久后，供應(yīng)商在 3.3.13 版本中發(fā)布了一個安全補(bǔ)丁，并于 2022年 4 月 7 日通過電子郵件提醒用戶，敦促他們應(yīng)用安全更新。

受到攻擊的網(wǎng)站數(shù)量

Wordfence 是一家專門為 WordPress 插件提供安全解決方案的公司，一直在持續(xù)監(jiān)測當(dāng)前的攻擊活動。據(jù)研究人員估計，有 20000 至 50000 個網(wǎng)站運行存在漏洞的Tatsu Builder版本。

攻擊細(xì)節(jié)

從 Wordfence 發(fā)布的報告來看，針對 WordPress 網(wǎng)站的攻擊達(dá)到了數(shù)百萬次，2022 年 5 月 14 日阻止了高達(dá) 590 萬次的攻擊嘗試，隨后幾天，攻擊數(shù)量開始有所下降，但仍處在高位水平。

Wordfence 檢測和阻止的攻擊

經(jīng)過對攻擊事件分析，研究人員發(fā)現(xiàn)攻擊者一直試圖在 "wp-content/uploads/typehub/custom/" 目錄的一個子文件夾中注入一個惡意軟件dropper(下載器)，并使其成為一個隱藏文件。該下載器名為 ".sp3ctra_XO.php"，其 MD5 哈希值為3708363c5b7bf582f8477b1c82c8cbf8。

擴(kuò)展的文件檢查功能跳過隱藏文件

另外，Wordfence 在報告中強(qiáng)調(diào)，超過一百萬次的攻擊僅來自以下三個 IP 地址，建議網(wǎng)站管理員將這些IP添加到封鎖名單中。

• 148.251.183.254;
• 176.9.117.218;
• 217.160.145.62。

最后，網(wǎng)絡(luò)安全專家強(qiáng)烈建議 Tatsu Builder 插件使用者，盡快升級到 3.3.1版本以避免攻擊風(fēng)險。

參考文章：https://www.bleepingcomputer.com/news/security/hackers-target-tatsu-wordpress-plugin-in-millions-of-attacks/