黑客為獲得 160 萬(wàn)個(gè)網(wǎng)站的管理權(quán)限而攻擊 WordPress

一場(chǎng)針對(duì) 160 多萬(wàn)個(gè) WordPress 網(wǎng)站的網(wǎng)絡(luò)攻擊正在進(jìn)行，研究人員發(fā)現(xiàn)有攻擊者曾數(shù)萬(wàn)次利用四個(gè)不同的插件和幾個(gè) Epsilon 框架主題的漏洞進(jìn)行攻擊。
他們說(shuō)，攻擊者的目的是為了利用管理權(quán)限完全接管網(wǎng)站。
此次攻擊活動(dòng)的范圍非常值得注意。根據(jù) Wordfence 的分析，該攻擊活動(dòng)來(lái)自 16,000 多個(gè)不同的 IP 地址。在前 36 小時(shí)內(nèi)就有 1370 萬(wàn)次攻擊。
含有漏洞的插件
研究人員說(shuō)，攻擊者的目的是利用以下插件中的未經(jīng)認(rèn)證的任意選項(xiàng)更新漏洞。主要是針對(duì) Kiwi Social Share（2018 年打了補(bǔ)?。?，WordPress Automatic、Pinterest Automatic 和 PublishPress Capabilities（都在今年打了補(bǔ)?。┻M(jìn)行攻擊。
Wordfence 研究人員在周四的分析中指出，在大多數(shù)情況下，攻擊者會(huì)將 'users_can_register' 選項(xiàng)更新為啟用，并將 'default_role' 選項(xiàng)設(shè)置為 `administrator'，這使得攻擊者有可能以管理員的身份在任何網(wǎng)站上進(jìn)行注冊(cè)，有效地接管網(wǎng)站。
據(jù) Wordfence 稱，該攻擊活動(dòng)于 12 月 8 日正式開(kāi)始，可能是在 12 月 6 日 PublishPress Capabilities 插件打了補(bǔ)丁后，攻擊者開(kāi)始對(duì)任意選項(xiàng)更新漏洞進(jìn)行大量的攻擊。
安全研究人員指出，其中一些漏洞以前就被利用過(guò)。例如，從 12 月 6 日開(kāi)始，專門針對(duì) 2018 年 Kiwi Social Share 漏洞的活動(dòng)激增。
WordPress Kiwi Social Sharing 插件目前自 12 月 6 日起就開(kāi)始大量被利用。該公司當(dāng)時(shí)在一份簡(jiǎn)短的警報(bào)中說(shuō)，它允許攻擊者修改 WordPress 的 wp_options 表，創(chuàng)建管理員賬戶，或者，將博客重定向到另一個(gè)網(wǎng)站。
受影響的版本如下。
Kiwi Social Plugin
文章轉(zhuǎn)載自嘶吼RoarTalk