研究人員表示,駭客正在利用一款知名的WordPress外掛程式發動數百萬次攻擊,試圖利用一個高危險漏洞來完全控制網站。
該漏洞存在於WordPress Automatic這款外掛程式中,該外掛程式有超過38,000名付費使用者。運行WordPress內容管理系統的網站使用它來整合其他網站的內容。上個月,安全公司Patchstack的研究人員披露說,WP Automatic 3.92.0及更早版本存在一個嚴重等級為10分滿分9.9分的漏洞。外掛程式開發商ValvePress在不知情的情況下發表了修補程序,修補版本是3.92.1及更高版本。
研究人員將這一漏洞(追蹤為CVE-2024-27956)歸類為SQL注入漏洞,這是一種由於Web應用程式未能正確查詢後端資料庫而導致的漏洞。SQL語法使用單引號來表示數據字符串的開始和結束。透過在易受攻擊的網站欄位中輸入具有特殊位置的單引號字符串,攻擊者可以執行程式碼以執行各種敏感操作,包括回傳機密數據、賦予管理系統權限或破壞Web應用程序的運作。
Patchstack研究人員在3月13日寫道:「這是一個非常危險的漏洞,預計會被大規模利用。」
另一家網路安全公司WPScan週四表示,自3月13日Patchstack公布以來,它已記錄了500多萬次試圖利用該漏洞的行為。WPScan稱,這些攻擊嘗試起初增長緩慢,並在3月31日達到高峰。該公司並未透露其中有多少嘗試成功。
WPScan稱,CVE-2024-27596允許未經身份驗證的網站存取建立管理級使用者帳戶、上傳惡意檔案並完全控制受影響的網站。該漏洞存在於外掛程式處理使用者身份驗證的方式中,允許攻擊者繞過正常的身份驗證過程並注入SQL程式碼,進而為他們提供提升的系統特權。之後,他們就可以上傳並執行惡意負載,重命名敏感檔案,以防止網站所有者或其他駭客控制被劫持的網站。
成功的攻擊通常遵循以下過程:
- SQL注入(SQLi):攻擊者利用WP-Automatic外掛程式中的SQLi漏洞執行未經授權的資料庫查詢。
- 建立管理使用者:有能力執行任意SQL查詢後,攻擊者可以在WordPress中建立新的管理級使用者帳戶。
- 上傳惡意軟體:建立管理級帳戶後,攻擊者可以將惡意檔案(通常是Web shell或後門)上傳到已被入侵網站的伺服器。
- 檔案重新命名:攻擊者可能會重命名易受攻擊的WP-Automatic檔案,以確保只有他能利用該漏洞。
WPScan研究人員解釋說:
一旦WordPress網站被入侵,攻擊者就會建立後門並混淆程式碼,以確保他們的長期存取權限。為了逃避檢測並維護存取權限,攻擊者還可能重命名易受攻擊的WP-Automatic檔案,這使得網站所有者或安全工具難以辨識或阻止該問題。值得一提的是,這也可能是攻擊者避免其他駭客成功攻破他們已入侵網站的一種方式。此外,由於攻擊者可以利用其獲得的高級特權在網站上安裝外掛程式和主題,我們注意到在大多數被入侵的網站上,惡意分子都安裝了允許他們上傳檔案或編輯程式碼的外掛程式。
這些攻擊開始於3月13日之後不久,也就是在ValvePress發表3.92.1版本15天後,而當時發表說明中沒有提及這一重要修復。ValvePress的代表暫時沒有回覆尋求解釋的留言請求。
雖然Patchstack和WPScan的研究人員將CVE-2024-27956歸類為SQL注入漏洞,但有經驗的開發人員表示,根據他對該漏洞的理解,它可能是不當授權(CWE-285)或不當存取控制(CWE-284)的一種子類型。
「根據Patchstack.com的說法,該程式應該只接收並執行經授權使用者的SQL查詢,」這位不願透露姓名的開發人員在網路訪談中寫道。「漏洞在於它在執行查詢前檢查用戶憑證的方式,允許攻擊者繞過授權。SQL注入是指攻擊者在本應只包含數據的地方嵌入SQL代碼,而這裡不是這種情況。」
無論分類如何,這個漏洞都是非常嚴重的。他們還應該使用上文中WPScan文章提供的危害指標數據,仔細分析他們的伺服器是否有被入侵的跡象。
- 延伸閱讀:這款USB充電線不只能充電,還是內建Wi-Fi的駭客電腦
- 延伸閱讀:駭客可在2公尺外直接穿過網閘,攻擊沒連網的電腦!機密資訊一覽無遺
- 延伸閱讀:白帽駭客?黑帽駭客?都叫做駭客,到底他們有什麼不一樣?
資料來源:
加入電腦王Facebook粉絲團