一場針對 160 多萬個 WordPress 網(wǎng)站的網(wǎng)絡(luò)攻擊正在進行,研究人員發(fā)現(xiàn)有攻擊者曾數(shù)萬次利用四個不同的插件和幾個 Epsilon 框架主題的漏洞進行攻擊。
他們說,攻擊者的目的是為了利用管理權(quán)限完全接管網(wǎng)站。
此次攻擊活動的范圍非常值得注意。根據(jù) Wordfence 的分析,該攻擊活動來自 16,000 多個不同的 IP 地址。在前 36 小時內(nèi)就有 1370 萬次攻擊。
含有漏洞的插件
研究人員說,攻擊者的目的是利用以下插件中的未經(jīng)認(rèn)證的任意選項更新漏洞。主要是針對 Kiwi Social Share(2018 年打了補?。?,WordPress Automatic、Pinterest Automatic 和 PublishPress Capabilities(都在今年打了補?。┻M行攻擊。
Wordfence 研究人員在周四的分析中指出,在大多數(shù)情況下,攻擊者會將 'users_can_register' 選項更新為啟用,并將 'default_role' 選項設(shè)置為 `administrator',這使得攻擊者有可能以管理員的身份在任何網(wǎng)站上進行注冊,有效地接管網(wǎng)站。
據(jù) Wordfence 稱,該攻擊活動于 12 月 8 日正式開始,可能是在 12 月 6 日 PublishPress Capabilities 插件打了補丁后,攻擊者開始對任意選項更新漏洞進行大量的攻擊。
安全研究人員指出,其中一些漏洞以前就被利用過。例如,從 12 月 6 日開始,專門針對 2018 年 Kiwi Social Share 漏洞的活動激增。
WordPress Kiwi Social Sharing 插件目前自 12 月 6 日起就開始大量被利用。該公司當(dāng)時在一份簡短的警報中說,它允許攻擊者修改 WordPress 的 wp_options 表,創(chuàng)建管理員賬戶,或者,將博客重定向到另一個網(wǎng)站。
受影響的版本如下。
Kiwi Social Plugin
文章轉(zhuǎn)載自嘶吼RoarTalk