wordpress重新安装
安全人员发现去年可利用的WordPress插件漏洞数量爆炸性增长
去年安全分析人员发现可利用的WordPress插件漏洞的数量爆炸性增长。来自RiskBased Security的研究人员报告说,他们发现在2021年,WordPress插件漏洞的数量增加了三位数。
据报道,在2021年底,有10359个漏洞影响第三方WordPress插件,其中,2240个漏洞是在去年披露的,与2020年相比,漏洞数量增加了142%。更糟糕的是,在这些额外的WordPress插件漏洞中,超过四分之三(77%)是已知的、公开的漏洞。
报告发现,有7592个WordPress漏洞可被远程利用,7993个漏洞有公开利用,4797个WordPress漏洞有公开利用,但没有CVE ID。换句话说,依靠CVE组织无法得知60%公开的WordPress插件漏洞。
根据RiskBased团队的说法,对新出现的WordPress攻击面的正确反应是,从根据风险对组织的重要性来确定资源的优先次序,转而关注最容易被利用的漏洞。平均而言,所有WordPress插件漏洞的CVSSv2得分是5.5,根据许多当前的虚拟机框架,这充其量被认为是一个中等风险,但是使用WordPress的企业不能让这些容易被威胁者利用的机会陷入积压的补丁中。
该小组指出,1月10日网络安全和基础设施安全局(CISA)对约束性操作指令的更新,概述了针对联邦网络的漏洞和积极威胁。该更新同样将容易利用的漏洞置于CVSS分数较高的漏洞之上,这表明,恶意行为者并不青睐CVSS严重性高的漏洞,而是选择那些他们容易利用的漏洞。
WordPress上的PHP Everywhere插件曝出三个高危RCE漏洞
Bleeping Computer 报道称:安全研究人员在 WordPress 的“PHP Everywhere”插件中发现了三个严重的远程代码执行(RCE)漏洞,导致全球超过 3 万个使用该插件的网站都受到了影响。据悉,该插件旨在方便管理员在页面、帖子、侧边栏、或任何 Gutenberg 块中插入 PHP 代码,并借此来显示基于评估的 PHP 表达式的动态内容。
Wordfence 安全分析师指出,CVSS v3 评分高达 9.9 的这三个漏洞,可被贡献着或订阅者所利用,且波及 2.0.3 及以下的所有 WordPress 版本。
首先是 CVE-2022-24663:
只需发送带有‘短代码’参数设置的 PHP Everywhere 请求,任何订阅者都可利用该 RCE 漏洞,并在站点上执行任何 PHP 代码。
其次是 CVE-2022-24664:
贡献者可借助插件的元框来利用该 RCE 漏洞,前提是创建一则帖子,添加一个 PHP 代码元框,然后进行预览。
然后是 CVE-2022-24665:
具有 edit_posts 权限、并可添加 PHP Everywhere Gutenberg 块的贡献者们,都可利用该 RCE 漏洞。
在易受攻击的插件版本中,PHP Everywhere 并未默认指定‘仅管理员权限’可用的安全设置,结果留下了这一隐患。
尽管后两个漏洞因需要贡献者的权限级别而不那么容易被利用,但首个漏洞还是让业界感到惊诧不已。
举个例子,只要某个用户在网站上以‘订阅者’的身份登录,便足以获得相应的权限来执行恶意 PHP 代码。
不论怎样,可在网站上执行任意代码,都可能导致整个站点被攻击者所接管 —— 这也是所有网站安全事故中最糟糕的一种情况。
截图(来自:Wordfence)
在 2022 年 1 月 4 日发现了上述漏洞字后,Wordfence 团队很快就向 PHP Everywhere 作者通报了此事。
厂商于 2022 年 1 月 10 日发布了 3.0.0 版安全更新,由于需要大量重写代码,所以版本号也发生了重大改变。
尴尬的是,尽管开发者行动迅速,但网站管理员普遍不怎么会定期更新其 WordPress 网站和插件。
由 WordPress.org 分享的统计数据可知,自 Bug 修复方案推出以来,3 万次安装中只有 1.5 万次更新了插件。
有鉴于此,考虑到三个 RCE 漏洞的严重性,我们在此强烈建议所有 PHP Everywhere 用户确保其已升级到最新可用的 3.0.0 版本。
需要注意的是,如果你在站点上使用了经典编辑器,则需要先卸载该插件、并找到替代解决方案,以在其组件上托管自定义的 PHP 代码。
因为 PHP Everywhere 的 3.0.0 版本仅支持基于 Block 编辑器的 PHP 片段,且作者不大可能致力于恢复落后的 Classic 功能。
不少WordPress网站被注入恶意脚本 对乌克兰网站发起DDoS攻击
不少 WordPress 网站正在遭受黑客们的攻击,通过注入的恶意脚本,利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天,MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本,针对十个网站进行分布式拒绝服务(DDoS)攻击。
这些网站包括乌克兰政府机构、智囊团、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰的网站。
目标网站的完整清单如下。
当加载时,JavaScript 脚本将迫使访问者的浏览器对列出的每个网站执行 HTTP GET 请求,每次不超过 1000 个并发连接。DDoS攻击将在后台发生,而用户不知道它正在发生,只是他们的浏览器会变慢。这使得脚本能够在访问者不知道他们的浏览器已被用于攻击的情况下进行 DDoS 攻击。
对目标网站的每个请求都将利用一个随机查询字符串,这样请求就不会通过 Cloudflare 或 Akamai 等缓存服务提供,而是直接由被攻击的服务器接收。例如,DDoS 脚本将在网站服务器的访问日志中产生类似以下的请求。
"get /?17.650025158868488 http/1.1"
"get /?932.8529889504794 http/1.1"
"get /?71.59119445542395 http/1.1"
BleepingComputer 只找到了几个感染了这种 DDoS 脚本的网站。然而,开发者 Andrii Savchenko 表示,有数百个 WordPress 网站被破坏,以进行这些攻击。Savchenko 在Twitter上说:“实际上大约有上百个这样的网站。都是通过WP漏洞。不幸的是,许多供应商/业主没有反应”。
在研究该脚本以寻找其他受感染的网站时,BleepingComputer 发现,亲乌克兰的网站 ,也在使用同样的脚本,用于对俄罗斯网站进行攻击。在访问该网站时,用户的浏览器被用来对67个俄罗斯网站进行 DDoS 攻击。
虽然这个网站澄清它将利用访问者的浏览器对俄罗斯网站进行DDoS攻击,但被攻击的WordPress网站在网站所有者或其访问者不知情的情况下使用了这些脚本。