本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
黑客一直使用过时版本的LiteSpeed Cache插件来攻击WordPress网站,以创建管理员用户并获得网站的控制权。
LiteSpeed Cache(LS Cache)是一种缓存插件,在超过500万个WordPress网站中使用,该插件有助于加快页面加载速度、改善访问者体验并提高Google搜索排名。
Automattic的安全团队WPScan在4月份观察到,威胁分子使用5.7.0.1之前版本的插件扫描和破坏WordPress网站的活动有所增加,这些网站很容易受到高严重性(8.8)未经身份验证的跨站点脚本漏洞的攻击,该漏洞被追踪为CVE-2023-40000。
扫描易受攻击的站点时,来自一个IP地址94[.]102[.]51[.]144的探测请求超过120万个。
WPScan报告称,这些攻击利用注入关键WordPress文件或数据库的恶意JavaScript代码,创建名为“wpsupp-user”或“wp-configuser”的管理员用户。
感染的另一个迹象是数据库中“litespeed.admin_display.messages”选项中存在“eval(atob(Strings.fromCharCode”)字符串。
恶意JS代码创建流氓管理员用户
很大一部分LiteSpeed Cache用户已迁移到不受CVE-2023-40000影响的更新版本,但仍有相当多的用户(高达1835000)运行易受攻击的版本。
定位电子邮件订阅者插件
攻击者在WordPress网站上创建管理员帐户能够完全控制网站,从而允许他们修改内容、安装插件、更改关键设置、将流量重定向到不安全的网站、分发恶意软件、网络钓鱼或窃取可用的用户数据。
近期,Wallarm报告了另一项针对名为“电子邮件订阅者”的WordPress插件的活动,旨在创建管理员帐户。
黑客利用了CVE-2024-2876,这是一个严重的SQL注入漏洞,严重程度为9.8/10,影响插件版本5.7.14及更早版本。
在观察到的攻击实例中,CVE-2024-27956已被用来对数据库执行未经授权的查询,并在易受攻击的WordPress网站(例如以“xtw”开头的网站)上建立新的管理员帐户。
尽管“电子邮件订阅者”的受欢迎程度远不如LiteSpeed Cache(总共有90000个活跃安装),但观察到的攻击表明,黑客不会放过任何一个攻击机会。
建议WordPress站点管理员将插件更新到最新版本,删除或禁用不需要的组件,并监控正在创建的新管理员帐户。
如果确认违规,则必须进行全面的站点清理。该过程需要删除所有恶意帐户,重置所有现有帐户的密码,并从干净的备份中恢复数据库和站点文件。
