目前,黑客已经对900,000多个WordPress网站发起了大规模攻击,这些攻击试图将访问者重定向到恶意网站或在取得管理员登录权限后直接植入后门。
根据有效载荷,这些攻击似乎是由一个黑客发起的,在过去的一个月中,他至少使用了24,000个IP地址向900,000多个站点发送恶意请求。
在4月28日之后,攻击尝试有所增加。WordPress安全公司Divisant在5月3日检测到针对50多万个网站的2000万次攻击。
Defiant高级质量检查官Ram Gall表示,攻击者主要集中在插件中的跨站点脚本(XSS)漏洞利用上,这些漏洞虽然在几个月或几年前已得到修复,但黑客还是针对没有更新的用户进行了攻击。
将访问者重定向到恶意网站是妥协的办法之一。如果JavaScript是由登录的管理员的浏览器执行的,则代码将尝试在头文件中插入一个PHP后门以及另一个JavaScript。
然后,后门获取另一个有效负载,并将其存储在主题的标头文件中,以尝试执行该有效负载。“这种方法可以让攻击者保持对网站的控制。”
这样,攻击者可以切换到另一个有效负载,该有效负载可能是Webshell,创建恶意管理员的代码或用于删除整个网站内容的代码。今天的报告中包含了最终有效载荷的危害指标。
注意旧的漏洞
Gall说,已检测到多个漏洞,但以下是最有针对性的漏洞。(请注意,这些易受攻击的插件要么已从官方存储库中删除,要么已在去年或之前收到修补程序。)
- Easy2Map 插件中的XSS漏洞已于2019年8月从WordPress插件存储库中删除,我们估计该漏洞 可能安装在不到3,000个站点上。这占所有攻击的一半以上。
- Blog Designer中的XSS漏洞已于2019年修补。虽然此漏洞是以前活动的目标,但我们估计不超过1,000个易受攻击的安装仍然存在。
- 2018年底修补了WP-GDPR-Compliance中的选项更新漏洞,该漏洞允许攻击者除了更改其他选项外,还更改网站的主URL。此插件的安装量超过100,000,我们估计有不超过5,000个易受攻击的安装仍然存在。
- Total捐赠中存在一个选项更新漏洞,允许攻击者更改网站的主页URL。这个插件在2019年初被从Envato市场永久删除,我们估计总安装量不到1000个。
- Newspaper主题中的XSS漏洞已于2016年修复。这一漏洞过去也曾成为攻击目标。
由此看出,WordPress插件漏洞的历史遗留问题确实存在,建议WordPress网站的管理员应该及时更新他们的插件并删除那些不在WordPress存储库中的插件。