WP Automatic WordPress 插件遭遇數(shù)百萬(wàn)次 SQL 注入攻擊
有研究人員披露,黑客目前正積極利用 WordPress 的 WP Automatic 插件中的一個(gè)嚴(yán)重漏洞來(lái)創(chuàng)建具有管理權(quán)限的用戶賬戶,并植入后門以實(shí)現(xiàn)長(zhǎng)期訪問(wèn)。
WP Automatic 現(xiàn)已被安裝在 30000 多個(gè)網(wǎng)站上,讓管理員自動(dòng)從各種在線資源導(dǎo)入內(nèi)容(如文本、圖片、視頻),并在 WordPress 網(wǎng)站上發(fā)布。該漏洞被認(rèn)定為 CVE-2024-27956,嚴(yán)重程度為 9.9/10。
3 月 13 日,PatchStack 漏洞緩解服務(wù)的研究人員公開披露了這一漏洞,并將其描述為一個(gè) SQL 注入漏洞,存在于插件的用戶驗(yàn)證機(jī)制中,攻擊者可以繞過(guò)該機(jī)制來(lái)執(zhí)行惡意 SQL 查詢。
通過(guò)發(fā)送特制請(qǐng)求,攻擊者還可以將任意 SQL 代碼注入站點(diǎn)的數(shù)據(jù)庫(kù)并獲得提升的權(quán)限。可能影響到 3.9.2.0 之前的 WP Automatic 版本。
已觀察到超過(guò) 550 萬(wàn)次攻擊嘗試
自 PatchStack 披露該安全問(wèn)題以來(lái),Automattic 的 WPScan 已觀察到超過(guò) 550 萬(wàn)次試圖利用該漏洞的攻擊,其中大部分攻擊記錄于 3 月 31 日。
WPScan 報(bào)告稱,在獲得目標(biāo)網(wǎng)站的管理員訪問(wèn)權(quán)限后,攻擊者會(huì)創(chuàng)建后門并混淆代碼,使其更難被發(fā)現(xiàn)。
WPScan的一份報(bào)告中指出:一旦WordPress網(wǎng)站被入侵,攻擊者就會(huì)通過(guò)創(chuàng)建后門和混淆代碼來(lái)確保其訪問(wèn)的持久性。為了防止其他黑客利用同樣的問(wèn)題入侵網(wǎng)站并避免被發(fā)現(xiàn),黑客還會(huì)將有漏洞的文件重命名為 “csv.php”。黑客一旦成功控制了網(wǎng)站,通常會(huì)安裝額外的插件,允許上傳文件和編輯代碼。
WPScan 提供了一套入侵指標(biāo),可以幫助管理員確定網(wǎng)站是否被黑客入侵。管理員可以通過(guò)查找是否存在以 “xtw ”開頭的管理員賬戶以及名為 web.php 和 index.php 的文件(這兩個(gè)文件是在最近的攻擊活動(dòng)中植入的后門)來(lái)檢查黑客接管網(wǎng)站的跡象。
為降低被入侵的風(fēng)險(xiǎn),研究人員建議 WordPress 網(wǎng)站管理員將 WP Automatic 插件更新到 3.92.1 或更高版本。
為了應(yīng)對(duì)這種威脅,研究人員敦促網(wǎng)站所有者立即采取行動(dòng)保護(hù)他們的WordPress網(wǎng)站。并提出了幾種主要的緩解措施,包括:
- 插件更新: 確保WP-Automatic插件已更新到最新版本。
- 用戶帳戶審查:定期審查和審核 WordPress 中的用戶帳戶,刪除任何未經(jīng)授權(quán)或可疑的管理員用戶。
- 安全監(jiān)控:使用強(qiáng)大的安全監(jiān)控工具和服務(wù)(如 Jetpack Scan)來(lái)檢測(cè)和響應(yīng)您網(wǎng)站上的惡意活動(dòng)。此外,如果您使用的是 Jetpack Scan,并且希望增強(qiáng)網(wǎng)站的安全性,請(qǐng)考慮啟用增強(qiáng)保護(hù)。通過(guò)激活此功能,您可以授權(quán) Web 應(yīng)用程序防火墻 (WAF) 檢查針對(duì)可能易受攻擊的獨(dú)立 PHP 文件的請(qǐng)求。這意味著,即使攻擊者試圖直接向 PHP 文件發(fā)送請(qǐng)求,我們的 WAF 也會(huì)在那里檢查并保護(hù)您的網(wǎng)站免受潛在威脅。
- 備份和還原: 維護(hù)網(wǎng)站數(shù)據(jù)的最新備份,以便在發(fā)生入侵時(shí)快速恢復(fù)。
對(duì)于使用舊版本 wp-automatic 插件的 Jetpack WAF 用戶,我們創(chuàng)建了一個(gè)規(guī)則,可以有效地阻止對(duì)易受攻擊的 PHP 文件的訪問(wèn),確保所有惡意請(qǐng)求都被拒絕。我們還在惡意軟件數(shù)據(jù)庫(kù)中添加了新規(guī)則,以檢測(cè)和清除此活動(dòng)中使用的惡意軟件。
WPScan 還建議網(wǎng)站所有者經(jīng)常創(chuàng)建網(wǎng)站備份,以便在出現(xiàn)漏洞時(shí)快速安裝副本。
