黑客积极使用易受攻击的 WordPress 插件攻击网站

已发表: 2021-12-23

WordPress插件攻击
越来越多的黑客利用最近在 WordPress 插件攻击中发现的最新安全漏洞。 网络犯罪分子的目标是那些未能更新其插件但仍使用易受攻击版本的旧版本的网站所有者。

有几组黑客这样做。 目前,安全专家知道至少有两个团体正在攻击 Profile Builder、ThemeGrill Demo Importer 和 Duplicator 插件的未修补版本。

这些是安装在众多网站上的非常流行的插件。 据估计,有数十万个网站有被利用的风险,因为它们的所有者未能更新这三个插件。

上述所有插件都有一个共同点。 安全研究人员最近分享了有关在这些插件中发现的可能导致网站受损的严重安全漏洞的报告。

安全专家称之为 Tonyredball 的对手之一可以访问具有以下易受攻击版本的 WP 网站:

ThemeGrill Demo Importer (低于 1.6.3 版) 该漏洞允许任何用户像管理员一样登录并擦除整个数据库。

配置文件生成器(低于 3.1.1 版) 该错误允许未经身份验证的用户也获得管理员权限。

托尼红球集团
Defiant 的安全专家指出,Tonyredball 小组利用包含新管理员帐户的电子邮件和用户名的 Web 请求,利用 Profile Builder 插件中的管理员注册漏洞。

同时,专家认为,该黑客组织利用 ThemeGrill Demo Importer 插件中发现的数据库删除漏洞进行了许多其他攻击。

ThemeGrill Demo Importer 被大量利用的原因可能是它的易用性。 它只需要攻击者通过 WordPress 插件向易受攻击的站点发送请求。 而在 Profile Builder 的情况下,攻击者需要付出更多的努力,因为他们应该首先找到易受攻击的形式。

利用这两个漏洞的最终结果是获得管理权限和访问受害者网站的能力。 一旦获得访问权限,在主题和插件上传者的帮助下,黑客将他们的恶意脚本上传到 WordPress 仪表板。

威胁参与者利用与 wp-block-plugin.php、blockspluginn.php、supersociall.php 和 wp-block-plugin.php 等文件名相关联的多种类型的脚本。

在最初的利用之后,攻击者会提供额外的有效载荷,以感染更多文件并在网站上获得更广泛的存在。 此外,研究人员观察到,恶意软件作者开始寻找其他易受相同利用方法攻击的 WP 站点。

在许多情况下,攻击者会在合法的 JavaScript 文件中注入恶意代码。 此举的目的是从另一台服务器加载一个脚本,将访问者重定向到由网络犯罪分子控制的恶意网站。

目前,这种重定向很容易被发现,而且并不复杂,但作恶者可能会修改他们的脚本,使其更加狡猾。

在一个案例中,访问者被重定向到一个名为 Talktofranky 的网站,该网站要求在弹出的浏览器通知中按允许,以证明他们是真人而不是机器人。 如果访问者这样做,他们允许该网站发送各种通知,包括垃圾邮件。

这可能看起来像一个小威胁,但不容易被黑客入侵的 Mac 设备的所有者经常成为此类技巧的受害者。 例如,用户发现自己被重定向到 A.akamaihd.net 等流氓网站。

安全研究人员在一个专门针对这种情况的在线论坛上发现了一个讨论,表明有相当多的受害者。

有趣的是,Tonyredball 组的所有攻击都源自单个 IP -45.129.96.17。 它位于爱沙尼亚并分配给名为 GMHost 的本地托管服务提供商。 该提供商以其糟糕的政策而闻名,这些政策吸引了许多网络犯罪分子在此托管。 该提供商只是不对投诉做出反应。

目前尚不清楚有多少 WordPress 网站会因为易受攻击的插件而受到攻击。 研究人员估计,Profile Builder 插件可能安装在大约 37k 站点上,而 ThemeGrill Demo Importer 可能安装在大约 40k 站点上。

Solarsalvador1234 组
另一组似乎更复杂的是Solarsalvador1234。 Defiant 的研究人员之所以如此命名它,是因为它是导致漏洞利用的 Web 请求中经常使用的电子邮件地址的名称。

该威胁参与者还针对上述两个插件,但除此之外,Solarsalvador1234 组的列表中还有 Duplicator 插件。 这个 WordPress 插件有助于克隆网站并将其从一个地方迁移到另一个地方。 它有超过一百万的活跃安装!

据报道,低于 1.3.28 的 Duplicator 版本存在安全漏洞,允许未经身份验证的访问者从目标网站下载不同的文件。

该漏洞通常用于获取受害站点的配置文件——wp-config.php,其中存储了访问数据库的用户凭据。 主要目标是在受感染网站上获得扩展和长期访问的可能性。

因此,通过利用这三个安全漏洞,最终,攻击者可以获得对受害者网站的完全管理访问权限。 重要的是要提醒这些漏洞已经公开披露和修补。

在黑客攻击的情况下,网站所有者应该责备自己没有遵循安全最佳实践并且未能及时更新攻击 WordPress 插件。 根据最近的统计数据,安全研究人员认为,大约 80 万个网站仍在运行未打补丁的 Duplicator 版本。

有很多理由相信上述三个易受攻击的插件并不是唯一被利用的插件。

同样,网站所有者应该记住,一旦发布了任何安全更新,他们应该优先安装它,因为越来越多的黑客攻击 WordPress 网站,快速发现和利用所有新旧安全漏洞。