[[441096]]

一場針對160多萬個WordPress網站的網絡攻擊正在進行，研究人員發現有攻擊者曾數萬次利用四個不同的插件和幾個Epsilon框架主題的漏洞進行攻擊。

他們說，攻擊者的目的是為了利用管理權限完全接管網站。

此次攻擊活動的范圍非常值得注意。根據Wordfence的分析，該攻擊活動來自16,000多個不同的IP地址。在前36小時內就有1370萬次攻擊。

含有漏洞的插件

研究人員說，攻擊者的目的是利用以下插件中的未經認證的任意選項更新漏洞。主要是針對Kiwi Social Share(2018年打了補丁)，WordPress Automatic、Pinterest Automatic和PublishPress Capabilities(都在今年打了補丁)進行攻擊。

Wordfence研究人員在周四的分析中指出，在大多數情況下，攻擊者會將'users_can_register'選項更新為啟用，并將'default_role'選項設置為`administrator'，這使得攻擊者有可能以管理員的身份在任何網站上進行注冊，有效地接管網站。

據Wordfence稱，該攻擊活動于12月8日正式開始，可能是在12月6日PublishPress Capabilities插件打了補丁后，攻擊者開始對任意選項更新漏洞進行大量的攻擊。

安全研究人員指出，其中一些漏洞以前就被利用過。例如，從12月6日開始，專門針對2018年Kiwi Social Share漏洞的活動激增。

WordPress Kiwi Social Sharing插件目前自12月6日起就開始大量被利用。該公司當時在一份簡短的警報中說，它允許攻擊者修改WordPress的wp_options表，創建管理員賬戶，或者，將博客重定向到另一個網站。

受影響的版本如下。

Kiwi Social Plugin <= 2.0.10 - 讓網站訪問者在社交媒體上分享內容。10,000+安裝。

PublishPress Capabilities <= 2.3 - 允許管理員定制WordPress用戶角色的權限，從管理員和編輯到作者、貢獻者、訂閱者和自定義角色。100,000以上的安裝。

Pinterest Automatic <= 4.14.3 - 將文章中的圖片自動粘貼到Pinterest.com。7,400多個安裝。

WordPress Automatic <= 3.53.2 - 自動將內容導入到WordPress。28,000多個安裝。

Epsilon漏洞

研究人員說，攻擊者還針對各種Epsilon框架主題中存在的功能注入漏洞進行利用，該漏洞允許遠程代碼執行(RCE)。Epsilon主題允許網站建設者選擇不同的設計元素，自定義網站的外觀和組織方式。

受影響的主題(總共安裝在150,000多個網站上)是：

• Activello <=1.4.0
• Affluent<1.1.0
• Allegiant <=1.2.2
• Antreas <=1.0.2
• Bonkers <=1.0.4
• Illdy <=2.1.4
• MedZone Lite <=1.2.4
• NatureMag Lite - 沒有發布補丁，用戶應及時卸載
• NewsMag <=2.4.1
• Newspaper X <=1.3.1
• Pixova Lite <=2.0.5
• Regina Lite <=2.0.4
• Shapely <=1.2.7
• Transcend <=1.1.8

這些主題以前也曾被大規模的攻擊。2020年11月，Wordfence觀察到一個針對這些工具的 探測攻擊行動，目的是測試網站是否未打補丁和有漏洞。這涉及對150多萬個網站的750萬次攻擊，來自18000多個IP地址。

研究人員說，這一次，攻擊者試圖再次更新任意選項，以便通過創建管理員賬戶來接管一個網站。

及時打補丁

根據Wordfence的說法，基于這些漏洞的嚴重性以及犯罪分子針對它們展開的大規模攻擊活動，要確保你的網站不被破壞是非常重要的。我們強烈建議任何運行這些插件或主題的網站及時更新到打過補丁的版本。只要更新插件和主題，就能確保你的網站信息安全，不受任何針對這些漏洞的攻擊。

研究人員建議，審查一個網站是否已經被破壞，管理員可以審查網站上的用戶賬戶，確定是否有任何未經授權的賬戶。

他們解釋說，如果網站正在運行四個插件中任何一個含有漏洞的版本，并且有一個流氓用戶賬戶存在，那么該網站很可能是通過這些插件被入侵的。請立即刪除檢測到的任何用戶賬戶。

他們說，管理員還應該在http://examplesite[.]com/wp-admin/options-general.php頁面，確保 "會員" 設置和 "新用戶默認角色 "都是正確設置。

由于WordPress為全球30%以上的網站提供支持(總共4.55億個網站)，該平臺和第三方插件將繼續成為網絡攻擊者的一個攻擊目標，尤其是插件的漏洞并不罕見。例如，10月，研究人員在Hashthemes Demo Importer插件中就發現了一個高危漏洞，它允許用戶將網站的內容刪除干凈。

本文翻譯自：https://threatpost.com/active-attack-takeover-wordpress/176933/如若轉載，請注明原文地址。