CLOUD云计算
为 WordPress 站点提供防火墙插件的两家网络安全公司检测到,至少两个黑客组织正在利用流行插件“Easy WP SMTP”中的这个 0day漏洞,它们创建恶意管理员账户作为后门并从被黑站点中劫持流量。
0day 已遭利用
这个 0day 存在于“Easy WP SMTP”中,活跃安装量超过30万次。该插件的主要功能是允许站点所有人配置站点服务器输出邮件的 SMTP 设置。
上周五即3月15日,NinTechNet 公司首次检测到这个 0day 漏洞遭利用。上周日,该公司将问题告知插件作者,后者于当天发布新版本 v1.3.9.1 修复该漏洞。
但攻击并未停止,仍然在继续,黑客试图在站点所有人应用补丁前接管尽可能多的站点。
如何检测到攻击
管理 Wordfence WordPress 防火墙的网络安全公司 Defiant 表示即使在打补丁之后仍可检测到攻击活动。该公司发布报告说明了这两个黑客组织的运营方式。
报告指出,攻击利用的是 WP SMTP 插件 1.3.9 版本中新增的导出/导入功能设置。该公司表示黑客在这个新功能中找到一个能够让他们修改站点所有设置的函数,而非仅和该插件相关的函数。
黑客当前使用该插件扫描站点,之后修改设置从而启用用户注册,而这个功能是站点所有人出于安全考虑一直禁用的功能。
在 NinTechNet公司发现的首次攻击中,黑客修改了负责控制站点上“订阅用户”角色权限的“wp_user_roles”选项,从而导致订阅用户具有和管理员账户相同的能力。
,两个攻击活动以相似的方式发动最初的攻击。不过随后其中一个黑客组织在被黑站点上创建了后门管理员账户后停止攻击活动,而另外一个黑客组织则更加激进,它修改了被黑站点,将访客重定向至充斥着支持X_X内容的站点。
修复
建议所有使用“Easy WP SMTP”插件的站点更新至最新版本 v1.3.9.1。NinTechNet和Defiant 公司建议更新后审计站点的用户部分的新增账户,订阅用户和管理员级别的账户都需要检查。
WordPress 论坛管理团队现在又忙着处理论坛上的“0day”内容了。该团队素以审查并忽视安全问题及攻击而闻名,导致某些插件的用户根本不知道未修复漏洞的存在以及正在遭受的攻击。
据 Sucuri公司今年发布的报告称,90%的被黑内容管理系统是 WordPress 站点。