網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn) WordPress LiteSpeed Cache 插件中存在一個(gè)安全漏洞，該漏洞被追蹤為 CVE-2023-40000，未經(jīng)身份驗(yàn)證的威脅攻擊者可利用該漏洞獲取超額權(quán)限。

LiteSpeed Cache 是一種緩存插件，被用于 500 多萬個(gè) WordPress 網(wǎng)站，可幫助加快頁面加載速度、改善訪客體驗(yàn)并提高谷歌搜索排名。

今年4月，Automattic 的安全團(tuán)隊(duì) WPScan 發(fā)現(xiàn)，威脅行為者掃描和入侵使用 5.7.0.1 以上版本插件的 WordPress 網(wǎng)站的活動(dòng)有所增加，因?yàn)檫@些網(wǎng)站存在一個(gè)高嚴(yán)重性（8.8）未經(jīng)驗(yàn)證的跨站腳本漏洞，該漏洞被追蹤為 CVE-2023-40000。

在掃描易受攻擊的網(wǎng)站時(shí)，來自 94[.]102[.]51[.]144 IP 地址的探測請(qǐng)求超過 120 萬個(gè)。

WPScan 報(bào)告稱，這些攻擊使用惡意 JavaScript 代碼注入關(guān)鍵 WordPress 文件或數(shù)據(jù)庫，并創(chuàng)建了名為 "wpsupp-user "或 "wp-configuser "的管理員用戶。

另一個(gè)感染跡象是數(shù)據(jù)庫中的 "litespeed.admin_display.messages "選項(xiàng)中出現(xiàn)了 "eval(atob(Strings.fromCharCode "字符串。

惡意 JS 代碼創(chuàng)建流氓管理員用戶，圖源：WPScan

大部分 LiteSpeed Cache 用戶已遷移到不受 CVE-2023-40000 影響的最新版本，但仍有大量用戶（多達(dá) 1,835,000 人）運(yùn)行有漏洞的版本。

鎖定電子郵件訂閱者插件

攻擊者可通過在 WordPress 網(wǎng)站上創(chuàng)建管理員賬戶的功能獲得網(wǎng)站的完全控制權(quán)，從而修改內(nèi)容、安裝插件、更改關(guān)鍵設(shè)置、將流量重定向到不安全的網(wǎng)站、分發(fā)惡意軟件、網(wǎng)絡(luò)釣魚或竊取可用的用戶數(shù)據(jù)。

本周初，Wallarm 報(bào)道了另一起針對(duì) WordPress 插件 "電子郵件訂閱者 "創(chuàng)建管理員賬戶的攻擊活動(dòng)。

黑客利用的是 CVE-2024-2876，這是一個(gè)嚴(yán)重程度為 9.8/10 的關(guān)鍵 SQL 注入漏洞，影響的插件版本為 5.7.14 及更早版本。

Wallarm表示，在觀察到的攻擊實(shí)例中，CVE-2024-27956 已被用于對(duì)數(shù)據(jù)庫執(zhí)行未經(jīng)授權(quán)的查詢，并在易受攻擊的 WordPress 網(wǎng)站（例如，以 "xtw "開頭的網(wǎng)站）上建立新的管理員賬戶。

雖然 "Email Subscribers "遠(yuǎn)沒有 LiteSpeed Cache 那么流行，它的有效安裝總數(shù)只有 90000 個(gè)，但觀察到的攻擊表明，黑客不會(huì)放過任何能攻擊的機(jī)會(huì)。

研究人員建議WordPress 網(wǎng)站管理員將插件立即更新到最新版本，刪除或禁用不需要的組件，并監(jiān)控是否有新的管理員賬戶創(chuàng)建。

如果確認(rèn)出現(xiàn)漏洞，必須對(duì)網(wǎng)站進(jìn)行全面清理，需要?jiǎng)h除所有惡意賬戶，重置所有現(xiàn)有賬戶的密碼，并從干凈的備份中恢復(fù)數(shù)據(jù)庫和網(wǎng)站文件。