近期有安全研究人员发现,黑客已开始利用 WordPress 的 WP Automatic插件中的一个严重漏洞,创建具有管理权限的用户帐户并植入后门以进行长期访问。
目前,WP Automatic安装在超过 30,000 个网站上,允许管理员自动从各种在线资源导入内容(例如文本、图像、视频)并在其 WordPress 网站上发布。
被利用的漏洞编号为CVE-2024-27956,严重程度评分为 9.9/10。PatchStack漏洞缓解服务的研究人员于 3 月 13 日公开披露了该问题 ,并将其描述为 SQL 注入问题,影响 3.9.2.0 之前的 WP 自动版本。问题在于插件的用户身份验证机制,可以绕过该机制向站点的数据库提交 SQL 查询。黑客可以使用精心构造的查询在目标网站上创建管理员帐户。
监测到超过 550 万次攻击的尝试
自 PatchStack 披露该安全问题以来,Automattic 的 WPScan 监测到超过 550 万次试图利用该漏洞的攻击,其中大多数是在 3 月 31 日记录的。
WPScan 报告称,在获得目标网站的管理员访问权限后,攻击者会创建后门并混淆代码,使其更难被发现。一旦 WordPress 网站遭到入侵,攻击者就会通过创建后门和混淆代码以方便持久化操作。
为了防止其他黑客利用同一漏洞破坏网站并避免被发现,黑客还将易受攻击的文件重命名为“csv.php”。一旦控制了网站,攻击者通常会安装额外的插件来允许上传文件和代码编辑。
WPScan 提供了一组指标,可以帮助管理员确定其网站是否遭到黑客攻击。管理员可以通过查找以“xtw”开头的管理员帐户以及名为web.php 和index.php的文件(这是最近的活动中植入的后门)来检查黑客接管网站的迹象 。
为了降低被破坏的风险,研究人员建议 WordPress 站点管理员将 WP 自动插件更新到版本 3.92.1 或更高版本。WPScan 还建议网站所有者做好网站备份,以便在受到威胁时可以快速安装干净的副本。
原文地址:https://www.bleepingcomputer.com/news/security/wp-automatic-wordpress-plugin-hit-by-millions-of-sql-injection-attacks/
图片来源:https://www.bleepingcomputer.com/news/security/wp-automatic-wordpress-plugin-hit-by-millions-of-sql-injection-attacks/
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
![WP Automatic WordPress插件遭受数百万次 SQL 注入攻击 WP Automatic WordPress插件遭受数百万次 SQL 注入攻击]()
原文始发于微信公众号(掌控安全EDU):WP Automatic WordPress插件遭受数百万次 SQL 注入攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2694602.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论