- 发布于
黑客试图利用 WordPress 插件漏洞,该漏洞非常严重
- 作者
- 姓名
- AbnAsia.org
- @steven_n_t
"WP 自动插件已修补,但发行说明没有提及关键修复。
黑客试图利用 WordPress 插件漏洞,该漏洞非常严重
研究人员表示,黑客正在使用一个著名的 WordPress 插件攻击网站,并进行了数百万次尝试,以利用一个允许完全接管的高严重性漏洞。
该漏洞存在于 WordPress 自动插件中,该插件拥有超过 38,000 名付费客户。运行 WordPress 内容管理系统的网站使用它来合并来自其他网站的内容。安全公司 Patchstack 的研究人员上个月透露,WP 自动版本 3.92.0 及以下版本存在一个漏洞,严重程度为 9.9 级(满分 10 级)。插件开发商 ValvePress 悄悄发布了一个补丁,该补丁可在 3.92 版中使用。 1及以上。
研究人员已将这个编号为 CVE-2024-27956 的缺陷归类为 SQL 注入,这是一类由于 Web 应用程序无法正确查询后端数据库而产生的漏洞。 SQL 语法使用撇号来指示数据字符串的开头和结尾。通过在易受攻击的网站字段中输入带有特殊位置的撇号的字符串,攻击者可以执行执行各种敏感操作的代码,包括返回机密数据、授予管理系统权限或破坏 Web 应用程序的工作方式。
Patchstack 研究人员在 3 月 13 日写道:这个漏洞非常危险,预计会被大规模利用。
网络安全公司 WPScan 周四表示,自 3 月 13 日 Patchstack 披露以来,它已记录了超过 550 万次利用该漏洞的尝试。 WPScan 表示,这些尝试开始缓慢,并于 3 月 31 日达到顶峰。该公司没有透露其中有多少尝试成功。
WPScan 表示,CVE-2024-27596 允许未经身份验证的网站访问者创建管理员级用户帐户、上传恶意文件并完全控制受影响的网站。该漏洞存在于插件处理用户身份验证的方式中,允许攻击者绕过正常的身份验证过程并注入 SQL 代码,从而授予他们提升的系统权限。从那里,他们可以上传并执行恶意有效负载,重命名敏感文件,以防止网站所有者或其他黑客控制被劫持的网站。
成功的攻击通常遵循以下过程:
SQL 注入 (SQLi):攻击者利用 WP-Automatic 插件中的 SQLi 漏洞执行未经授权的数据库查询。
创建管理员用户:由于能够执行任意 SQL 查询,攻击者可以在 WordPress 中创建新的管理员级用户帐户。
恶意软件上传:创建管理员级帐户后,攻击者可以将恶意文件(通常是 Web shell 或后门)上传到受感染网站的服务器。
文件重命名:攻击者可以重命名易受攻击的 WP-Automatic 文件,以确保只有他可以利用它。
WPScan 研究人员解释说:
一旦 WordPress 网站遭到入侵,攻击者就会通过创建后门和混淆代码来确保其访问的长期性。为了逃避检测并保持访问,攻击者还可能重命名易受攻击的 WP-Automatic 文件,从而使网站所有者或安全工具难以识别或阻止该问题。值得一提的是,这也可能是攻击者避免其他不良行为者成功利用其已受感染网站的一种方式。此外,由于攻击者可以使用他们获得的高权限在网站上安装插件和主题,我们注意到,在大多数受感染的网站中,不良行为者安装了允许他们上传文件或编辑代码的插件。
这些攻击于 3 月 13 日后不久开始,即 ValvePress 发布 3.92.1 版本 15 天后,但在发行说明中未提及关键补丁。 ValvePress 代表没有立即回复寻求解释的消息。
虽然 Patchstack 和 WPScan 的研究人员将 CVE-2024-27956 归类为 SQL 注入,但一位经验丰富的开发人员表示,他对该漏洞的解读是,该漏洞要么是不正确的授权 (CWE-285),要么是不正确的访问控制的子类别 (CWE-284)。
根据 Patchstack.com 的说法,该程序应该接收并执行 SQL 查询,但只能来自授权用户,这位不愿透露姓名的开发人员在在线采访中写道。 该漏洞在于它在执行查询之前检查用户凭据的方式,从而允许攻击者绕过授权。 SQL 注入是指攻击者将 SQL 代码嵌入到本应只是数据的内容中,但这里的情况并非如此。
无论分类如何,该漏洞都非常严重。用户应立即修补插件。他们还应该使用上面链接的 WPScan 帖子中提供的妥协数据指标仔细分析其服务器是否有被利用的迹象。"
作者
Ai Base Network (ABN), ABN ASIA由具有深厚学术背景的人员创立,他们在美国、荷兰、匈牙利、日本、韩国、新加坡和越南等国家有工作经验。ABN Asia是学术界和技术相遇的地方。凭借我们领先的解决方案和优秀的软件开发服务,我们帮助企业提升水平,走向全球舞台。我们的承诺:更快。更好。更可靠。在大多数情况下:也更便宜。
无论您需要IT服务、数字咨询、现成软件解决方案,还是想向我们发送招标要求(RFPs),都请随时与我们联系。您可以通过[email protected]与我们联系。我们随时准备为您提供所有技术需求的帮助。
© ABN ASIA