持續(xù)的攻擊針對名為 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未經(jīng)身份驗(yàn)證的存儲(chǔ)跨站點(diǎn)腳本 (XSS) 漏洞，該插件具有超過 40,000 個(gè)活動(dòng)安裝。

在 XSS 攻擊中，威脅參與者將惡意 JavaScript 腳本注入易受攻擊的網(wǎng)站，這些腳本將在訪問者的 Web 瀏覽器中執(zhí)行。

影響可能包括未經(jīng)授權(quán)訪問敏感信息、會(huì)話劫持、通過重定向到惡意網(wǎng)站感染惡意軟件或完全破壞目標(biāo)系統(tǒng)。

發(fā)現(xiàn)這些攻擊的 WordPress 安全公司 Defiant 表示，該漏洞還允許未經(jīng)身份驗(yàn)證的攻擊者在運(yùn)行未修補(bǔ)插件版本（最高并包括 2.10.1）的 WordPress 網(wǎng)站上創(chuàng)建流氓管理員帳戶。

此次攻擊活動(dòng)中利用的安全漏洞已于 1 月份通過 2.10.2 版的發(fā)布進(jìn)行了修補(bǔ)。

“根據(jù)我們的記錄，該漏洞自 2023 年 2 月 5 日以來一直受到頻繁攻擊，但這是我們所見過的針對它的最大規(guī)模攻擊，”威脅分析師 Ram Gall 表示。

“自 2023 年 5 月 23 日以來，我們已經(jīng)阻止了來自近 14,000 個(gè) IP 地址的近 300 萬次針對超過 150 萬個(gè)站點(diǎn)的攻擊，并且攻擊仍在繼續(xù)?！?/span>

盡管這種持續(xù)的攻擊活動(dòng)具有大規(guī)模性質(zhì)，但 Gall 表示，威脅參與者使用了一種配置錯(cuò)誤的漏洞利用，即使針對運(yùn)行易受攻擊的插件版本的 WordPress 站點(diǎn)，該漏洞也可能不會(huì)部署有效負(fù)載。

即便如此，建議使用 Beautiful Cookie Consent Banner 插件的網(wǎng)站管理員或所有者將其更新到最新版本，因?yàn)榧词构羰∫部赡軙?huì)破壞存儲(chǔ)在
nsc_bar_bannersettings_json 選項(xiàng)中的插件配置。

該插件的補(bǔ)丁版本也已更新，以在網(wǎng)站成為這些攻擊的目標(biāo)時(shí)進(jìn)行自我修復(fù)。

盡管當(dāng)前的攻擊可能無法向網(wǎng)站注入惡意載荷，但該攻擊背后的威脅行為者可以隨時(shí)解決這個(gè)問題，并 potentially 感染仍然暴露的任何網(wǎng)站。

上周，威脅行為者也開始探測運(yùn)行 Essential Addons for Elementor 和 WordPress Advanced Custom Fields 插件的 WordPress 網(wǎng)站。這些攻擊始于發(fā)布證明概念 (PoC) 漏洞之后，該漏洞允許未認(rèn)證的攻擊者在重置管理員密碼并獲取特權(quán)訪問后劫持網(wǎng)站。