WordPress的GDPR合规性插件漏曝光,黑客可利用接管网站
时间 : 2018-11-12 编辑 : DNS智能解析专家 来源 : DNS.COM
WordPress GDPR 合规插件被爆存在关键漏洞,允许未经身份验证的黑客提权添加新管理员账户,目前已经并且正在继续被黑客利用来接管网站。
该漏洞影响WP GDPR Compliance,这是一个WordPress插件。WordPress的GDPR合规性的插件有超过10万的活跃用户,该插件是WordPress插件目录中最受欢迎的GDPR主题插件之一。设计初衷是帮助网站和网上商店的管理符合欧盟的通用数据保护条例(GDPR)。它支持插件如Contact Form、Gravity Forms、WordPress Comments和WooCommerce。
大约三周前,攻击者似乎发现了此插件中的漏洞,并开始使用它来访问WordPress站点并安装后门脚本。关于被黑网站的初步报告被制作成另一个插件的支持论坛,但该插件最终被安装为一些被黑网站上的第二阶段有效负载。在WordPress安全团队领导的调查之后,黑客的来源最终被追溯到WP GDPR Compliance,这是在所有报告的被入侵站点上安装的通用插件。
上周早些时候,WordPress团队在他们的代码中发现了几个安全问题之后,从官方的插件目录中删除了这个插件,他们认为这是导致报告的黑客攻击的原因。该插件在两天前恢复,但仅在其作者发布版本1.4.3之后,其中包含针对报告的问题的补丁。
攻击仍在继续
但是,针对WordPress站点运行Wordfence防火墙插件的公司Defiant的安全专家表示,尽管有这些修复,但仍在运行仍在运行版本1.4.2及更早版本的站点的攻击仍在继续。用户应将WP GDPR Compliance插件更新至1.4.3版以保护其站点。
该公司的分析师表示,他们将继续发现试图利用其中一个报告的WP GDPR合规性安全问题的攻击。特别是攻击者瞄准WP GDPR合规性错误,允许他们调用插件的内部功能之一并更改插件的设置,但也适用于整个WordPress CMS。
Wordfence团队表示,他们目前已知使用此漏洞的两种类型的攻击。
第一种情况是这样的:
黑客使用bug来打开网站的用户注册系统;
黑客使用bug将新帐户的默认角色设置为“管理员”;
黑客注册一个新帐户,该帐户自动成为管理员。这个新帐户通常被命名为“t2trollherten”;
黑客将新帐户的默认用户角色设置为“订阅者”;
黑客禁用公共用户注册;
黑客登录他们的新管理员帐户;
然后他们继续在网站上安装后门,作为名为wp-cache.php的文件。
这个后门脚本(如下图所示)包含一个文件管理器,终端模拟器和一个PHP eval()函数运行器,站点上的这样一个脚本可以允许攻击者随意部署更多的有效负载。
但专家们还发现了第二种类型的攻击,它不依赖于创建一个新的管理员帐户,这可能会被被黑网站的所有者发现。
第二种假定更安静的技术涉及使用WP GDPR Compliance错误向WP-Cron(WordPress的内置任务调度程序)添加新任务。
黑客的cron作业下载并安装2MB Autocode插件,攻击者后来使用该插件在网站上上传另一个后门脚本 - 也称为wp-cache.php,但与上面详述的不同。
之所以发生这种情况,是因为在某些网站上,黑客的利用例程无法删除2MB自动编码插件。网站所有者看到他们的网站上出现了一个新的插件并惊慌失措。事实上,在这个插件的WordPress支持论坛上,网站所有者首先抱怨黑客入侵的网站,并引发调查,导致回到WP GDPR Compliance插件。
攻击者正在囤积被黑网站
据Wordfence团队称,目前攻击者似乎并没有对被黑网站做任何恶意攻击。
黑客只是囤积被黑网站,而且Wordfence还没有看到他们试图通过后门脚本部署任何恶意内容,例如SEO垃圾邮件、漏洞利用工具包、恶意软件或其他类型的恶意。
使用WP GDPR Compliance插件的网站所有者仍有时间从他们的网站更新或删除插件,并清理任何遗留下来的后门。他们应该在他们的网站在搜索引擎排名方面受到打击之前这样做,这通常发生在Google在常规扫描期间在其域上发现恶意软件之后。
来源:https://www.zdnet.com/article/zero-day-in-popular-wordpress-plugin-exploited-in-the-wild-to-take-over-sites/