黑客应用WordPress插件破绽失掉超额权限 500万个网站面临安保要挟

网络安保钻研人员近期发现 WordPress LiteSpeed Cache 插件中存在一个安保破绽,该破绽被追踪为 CVE-2023-00,未经身份验证的要挟攻打者可应用该破绽失掉超额权限。

LiteSpeed Cache 是一种缓存插件,被用于 500 多万个 WordPress 网站,可协助放慢页面加载速度、改善访客体验并提高谷歌搜查排名。

往年4月,Automattic 的安保团队 WPScan 发现,要挟行为者扫描和入侵经常使用 5.7.0.1 以上版本插件的 WordPress 网站的优惠有所参与,由于这些网站存在一个高严重性(8.8)未阅历证的跨站脚本破绽,该破绽被追踪为 CVE-2023-00。

在扫描易受攻打的网站时,来自 94[.]102[.]51[.]144 IP 地址的探测恳求超越 120 万个。

WPScan 报告称,这些攻打经常使用恶意 JavaScript 代码注入关键 WordPress 文件或数据库,并创立了名为 "wpsupp-user "或 "wp-configuser "的治理员用户。

另一个感化迹象是数据库中的 "litespeed.admin_display.messages "选项中产生了 "eval(atob(Strings.fromCharCode "字符串。

恶意 JS 代码创立流氓治理员用户,图源:WPScan

大局部 LiteSpeed Cache 用户已迁徙到不受 CVE-2023-00 影响的最新版本,但仍有少量用户(多达 1,835,000 人)运转有破绽的版本。

锁定电子邮件订阅者插件

攻打者可经过在 WordPress 网站上创立治理员账户的配置取得网站的齐全控制权,从而修正内容、装置插件、更改关键设置、将流量重定向到不安保的网站、散发恶意软件、网络钓鱼或窃取可用的用户数据。

本周初,Wallarm 报道了另一同针对 WordPress 插件 "电子邮件订阅者 "创立治理员账户的攻打优惠。

黑客应用的是 CVE-2024-2876,这是一个严重水平为 9.8/10 的关键 SQL 注入破绽,影响的插件版本为 5.7.14 及更早版本。

Wallarm示意,在观察到的攻打实例中,CVE-2024-27956 已被用于对数据库口头未经授权的查问,并在易受攻打的 WordPress 网站(例如,以 "xtw "扫尾的网站)上树立新的治理员账户。

只管 "Email Subscribers "远没有 LiteSpeed Cache 那么盛行,它的有效装置总数只要 90000 个,但观察到的攻打标明,黑客不会放过任何能攻打的时机。

钻研人员倡导WordPress 网站治理员将插件立刻降级到最新版本,删除或禁用不须要的组件,并监控能否有新的治理员账户创立。

假设确认产生破绽,必定对网站启动片面清算,须要删除一切恶意账户,重置一切现有账户的明码,并从洁净的备份中复原数据库和网站文件。

您可能还会对下面的文章感兴趣: