趕緊更新!黑客正積極利用多個WordPress插件零日漏洞

2021-01-09 站長之家
趕緊更新!黑客正積極利用多個WordPress插件零日漏洞

站長之家(ChinaZ.com) 3月2日 消息:到目前為止,WordPress是網際網路上使用最廣泛的網站建站技術。根據最近的統計,超過35%的網際網路網站使用WordPress CMS(內容管理系統)。

由於WordPress有著大量的用戶,也就成為攻擊者的目標。據報導,今年 2 月份以來,針對WordPress網站的攻擊越來越頻繁。幾家專門從事WordPress安全產品的網絡安全公司,如Wordfence、WebARX和NinTechNet,已經報導了對WordPress站點的攻擊數量不斷增加。

2 月份,有報發現所有新攻擊都集中在利用WordPress插件中的漏洞,而不是WordPress本身的問題。許多攻擊的目標是最近修補的插件漏洞,黑客希望在網站管理員有機會安裝安全補丁之前劫持網站。

然而,也有一些攻擊也稍微複雜一點。一些攻擊者還發現並開始利用零日漏洞。以下是以下是二月份發生的針對新WordPress插件漏洞攻擊的總結。建議網站管理員趕緊更新下列出現的WordPress插件,避免相關網站接下來遭黑客攻擊利用。

Duplicator

根據Wordfence的一份報告,自 2 月中旬以來,黑客已經利用了Duplicator中的一個漏洞,這是一個允許站點管理員導出其站點內容的插件。

該漏洞允許攻擊者導出該站點的副本,並從中提取資料庫憑證,然後劫持WordPress站點的底層MySQL伺服器,之後在1.3. 28 修復。

更糟糕的是,Duplicator是WordPress門戶上最流行的插件之一,大約在 2 月 10 日攻擊開始時,其安裝量超過 100 多萬次。另外 17 萬個站點上安裝的該插件的商業版本Duplicator Pro也受到了影響。

Profile Builder

免費版和專業版的Profile Builder插件中還有另一個主要漏洞,允許黑客在WordPress網站上註冊未經授權的管理帳戶。

該漏洞於 2 月 10 日被修復,但攻擊開始於 2 月 24 日。根據報告,至少有兩個黑客組織正在利用這個漏洞。超過65, 000 個站點(50, 000 個使用免費版本,15, 000 個使用商業版本)容易受到攻擊,除非它們將插件更新到最新版本。

ThemeGrill Demo Importer

另外一個漏洞存在於ThemeGrill Demo Importer,該插件附帶了出售商業WordPress主題的web開發公司ThemeGrill出售的主題。

WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未經身份驗證的攻擊者的遠程攻擊。黑客可以將站點的內容重置為零,有效地清除了所有WordPress站點中ThemeGrill主題激活的內容,並且安裝了易受攻擊的插件。

此外,如果站點的資料庫包含一個名為「admin」的用戶,那麼攻擊者將被授予對該用戶的訪問權,該用戶擁有站點的完全管理員權限。超過 20 萬個站點安裝了這一插件,建議儘快更新至v1.6. 3 版本。

 ThemeREX Addons

 安全人員還發現了針對ThemeREX插件的攻擊,這是一個預裝了所有ThemeREX商業主題的WordPress插件。根據Wordfence的報告,攻擊始於 2 月 18 日,當時黑客發現了插件的零日漏洞,並開始利用它在易受攻擊的站點上創建流氓管理帳戶。

儘管攻擊仍在繼續,但始終沒有提供補丁,網站管理員被建議儘快從他們的網站刪除插件。

Flexible Checkout Fields for WooCommerce

攻擊還針對運行 Flexible Checkout Fields for WooCommerce插件的網站,該插件安裝在超過20, 000 個基於WordPress的電子商務網站上。

黑客利用一個(現已修補)零日漏洞注入XSS有效負載,可在登錄管理員的儀錶板中觸發。XSS的有效載荷允許黑客在易受攻擊的網站上創建管理帳戶。

自 2 月 26 日[1,2]以來,該類型攻擊一直在進行。

此外, Async JavaScript、10Web Map Builder for Google Maps、Modern Events Calendar Lite 三款插件也存在類似的零日漏洞,它們分別應用在了100,000、20, 000 和40, 000 個站點。(zdnet)

相關焦點

  • Sophos發布了緊急補丁 黑客正在利用零日Sophos防火牆
    E安全4月28日訊,近日據外媒報導,網絡安全公司Sophos於周六發布了緊急安全更新,以修補XG企業防火牆產品中的一個零日漏洞,該漏洞被已被黑客利用。據了解,黑客針對的是Sophos XG Firewall設備,由於這些設備的管理HTTPS服務或用戶門戶控制面板暴露在網際網路上。
  • 谷歌發布2019 年政府黑客攻擊報告 零日漏洞攻擊目標更為明顯
    雖然針對大多數工業或國家的攻擊是零星的,但烏克蘭在整個三年期間都是攻擊的對象: 零日漏洞攻擊目標更為明顯 零日漏洞是未知的軟體缺陷。在它們被識別和修復之前,它們可以被攻擊者利用。標記積極搜尋這類攻擊,因為它們特別危險,成功率很高,儘管它們只佔總數的一小部分。當谷歌發現一種利用零天漏洞的攻擊時,會向供應商報告該漏洞並將其提供給他們。
  • 黑客正在利用 Sophos 防火牆 0DAY 漏洞
    該攻擊使用一個以前未知的 SQL 注入漏洞來訪問暴露的 XG 設備 。作者:安華金和網絡安全公司 Sophos 於周六發布了緊急安全更新,以修補 XG 企業防火牆產品中的一個零日漏洞,該漏洞被黑客廣泛濫用。
  • 27屆DEFCON黑客大會:4G熱點設備頻曝零日漏洞
    搞滲透測試的網絡安全廠商Pen Test Partners在上周舉行的DEFCON黑客大會上,披露了多個品牌的4G移動熱點設備的安全漏洞,同時指責這些設備製造商未來都會生產5G設備,但他們卻並不注重這些設備的安全性。
  • 機器學習算法進入深網和暗網,鎖定零日漏洞
    在4月,一個基於這個漏洞的攻擊程序(Exploit)在黑市售賣,售價1.5萬美元。7月,基於這個產品的第一個惡意軟體出現,是一個名為「 Dyre Banking」的木馬程序,可以攻擊全球用戶並盜取被感染設備上的信用卡號。從上面這個事件裡,我們可以看到惡意軟體誕生的基本過程。首
  • 谷歌發布 2019 年政府黑客攻擊報告:近 4 萬次警告,黑客攻擊對象更...
    雖然針對大多數工業或國家的攻擊是零星的,但烏克蘭在整個三年期間都是攻擊的對象:零日漏洞攻擊目標更為明顯零日漏洞是未知的軟體缺陷。在它們被識別和修復之前,它們可以被攻擊者利用。標記積極搜尋這類攻擊,因為它們特別危險,成功率很高,儘管它們只佔總數的一小部分。當谷歌發現一種利用零天漏洞的攻擊時,會向供應商報告該漏洞並將其提供給他們。
  • 黑客利用 SolarWinds Orion 漏洞攻擊美多個機構
    黑客利用 SolarWinds Orion 漏洞攻擊美多個機構 近日,美國財政部和商務部等機構遭到攻擊,可能會影響到 18,000 個用戶。
  • 從漏洞利用工具到零日漏洞:網絡黑市大全
    、零日漏洞利用、防彈主機託管。零日漏洞利用,是利用未打補丁漏洞的技術,攻擊者用以獲取對計算系統的非授權訪問。「FUD」在正常安全世界意味著「恐懼、不確定、懷疑」,在地下論壇世界則是「完全不可檢測」。這些論壇上還有所謂的「開膛手」,就是欺騙其他用戶,不提供有用服務或貨品,拿了錢就跑的騙子。魯伊斯·曼迪艾塔,Anomali高級安全研究員,對常見地下市場進行了分析調查。
  • 如何安裝wordpress插件(3種方法)
    WordPress插件分為免費和付費的,通常免費插件在網站後臺搜索並安裝,而付費插件是通過上傳插件壓縮包到wordpress後臺安裝。接下來我們講解一下插件安裝的三種方法:在wordpress後臺搜索插件並安裝上傳插件到wordpress後臺安裝在網站伺服器的管理面板中安裝由於使用FTP上傳插件的方法並不適合新手,本文就不講述它了。
  • BitPaymer勒索軟體利用蘋果Bonjour更新器零日漏洞進行攻擊
    據Morphisec Labs的研究人員披露,BitPaymer勒索軟體正在利用Bonjour更新器的零日漏洞進行攻擊,很可能影響到了安裝Windows版iTunes和iCloud應用的用戶。由於Bonjour更新器是作為單獨的程序安裝在系統上的,因此即使卸載了iTunes和iCloud,也不會刪除Bonjour。因此Bonjour更新器可能還會存在於用戶的電腦或者手機裡。此次Morphisec Labs的研究人員發現Bonjour更新器中出現了一種無引號(unquoted)服務路徑漏洞。
  • UEFI存零日漏洞可繞過Windows安全功能
    UEFI存零日漏洞可繞過Windows安全功能 2016年07月04日 09:19作者:cnBeta編輯:李佳輝     統一的可擴展固件接口(UEFI
  • 黑客組織 Darkhotel 疑與朝鮮有關,借 VBScript 漏洞盯上「人上人」
    不過,與黑客的鬥爭是一場持久戰,他們還有別的方法來加載腳本。比如,Office 套件中那些依賴 IE 引擎來加載和呈現 Web 內容的應用。今年 7 月微軟推送 Windows 定期更新後第二天,趨勢科技的安全專家就發現 VBScript 中的漏洞被人利用了。
  • 中國黑客攻破蘋果Safari瀏覽器(雙語)
    上周舉行的Pwn2Own黑客大賽中,所有網絡軟體包括蘋果(Apple)Safari瀏覽器、谷歌(Google)Chrome瀏覽器、微軟(Microsoft)的IE瀏覽器、Mozilla公司的火狐瀏覽器(Firefox),以及Adobe公司的PDF閱讀器(Adobe Reader)及瀏覽器插件Adobe Flash都被黑客徹底攻破。
  • 發送文字符號致iPhone崩潰BUG再現/新現兩個遠程控制零日漏洞
    其中還有著可以影響到iOS 6——iOS 13.4.1之間所有iPhone的零日漏洞。先別激動,可能出現漏洞,對於喜歡進行iPhone越獄的小夥伴來說就是一件好事,就如之前的無法修復的硬體漏洞一樣,後期被開發出了許多支持良好的越獄工具。但是這個不一樣,不能用作手機越獄的突破口。
  • 最全最佳wordpress插件匯總推薦
    下面這些由網友整理的 wordpress常用插件,相信總有一款會適合你,用wordpress最痛苦的是想實現某個功能但又不知道插件搜索的關鍵詞,希望瀏覽找出適合自己的,需要的!適合的!才是最好的!!!由於沒有時間精力去一個一個測試,未免個別插件沒有更新或下架,請諒解。
  • NSA公布國內被高頻利用的25個漏洞
    美國國家安全局(NSA)發布了一份報告,並公布了25個「中國黑客」在野攻擊中利用的漏洞,其中包括已經被修復的知名漏洞。大部分在公布名單裡的漏洞都是可以公開獲取的,所以常被黑客利用。通過這些漏洞,黑客可以獲得對目標網絡的初始訪問權限。從Internet直接訪問的系統會受到很大影響,如防火牆和網關。
  • 解密Project Zero:谷歌內部的超級黑客團隊
    同 時,「Project Zero」所處理的安全漏洞通常都屬於「零日漏洞」範疇,網絡黑客或者政府有組織的黑客團隊可以利用這些漏洞展開網絡監聽等操作。谷歌表示,「Project Zero」團隊並不僅限於在谷歌自有的產品中尋找系統安全漏洞,因為他們也會在任何軟體產品上尋找漏洞。在發現了某個漏洞後,該團隊會對其進行曝光,並通過這種方式來鼓勵相關公司與谷歌聯手對付黑客。
  • 最常用最齊全wordpress插件大全推薦
    下面這些由網友整理的 wordpress常用插件,相信總有一款會適合你,用wordpress最痛苦的是想實現某個功能但又不知道插件搜索的關鍵詞,希望瀏覽找出適合自己的,需要的!適合的!才是最好的!!!由於沒有時間精力去一個一個測試,未免個別插件沒有更新或下架,請諒解。留言相關:1、Akismet:最流行的反垃圾留言插件。2、Spam Karma 2:又一個垃圾留言屏蔽插件,和Akismet相比,這個要更為複雜一些。
  • CVE-2019-12498:WordPress WP Live Chat漏洞分析
    Alert Logic研究人員在WordPress WP Live Chat插件8.0.32及之前版本中存在一個重要的認證繞過漏洞。攻擊者利用該認證繞過可以在沒有有效憑證的情況下訪問REST API函數,竊取聊天日誌和操作聊天會話。研究人員已經將漏洞報告給場所,並且一些協作發布了補丁。
  • Google:2019年有近4萬條關於國家資助的黑客攻擊警報
    Google:2019年有近4萬條關於國家資助的黑客攻擊警報 近日,谷歌宣布已警告用戶,2019年有將近40,000條關於國家資助的網絡釣魚或惡意軟體攻擊的警報。