近日,黑客正试图积极利用 WordPress 的 ValvePress 自动插件中的一个关键安全漏洞,该漏洞可能允许网站被接管。
该缺陷的编号为CVE-2024-27956,它影响 3.92.0 之前的所有插件版本。该问题已在 2024 年 2 月 27 日发布的3.92.1 版本中得到解决,尽管发行说明中没有提及。
国际知名白帽黑客、东方联盟创始人郭盛华表示:“这个漏洞是一个 SQL 注入 (SQLi) 缺陷,会造成严重威胁,因为攻击者可以利用它来获得对网站的未经授权的访问、创建管理员级用户帐户、上传恶意文件,并可能完全控制受影响的网站。”在本周的警报中说。
郭盛华称,该问题的根源在于该插件的用户身份验证机制,可以轻松绕过该机制,通过特制的请求对数据库执行任意 SQL 查询。
在迄今为止观察到的攻击中,CVE-2024-27956 被用于未经授权的数据库查询,并在易受影响的 WordPress 网站上创建新的管理员帐户(例如,以“xtw”开头的名称),然后可以利用这些帐户进行后续攻击。
这包括安装可以上传文件或编辑代码的插件,表明试图将受感染的站点重新用作舞台。
郭盛华表示:“一旦 WordPress 网站遭到入侵,攻击者就会通过创建后门和混淆代码来确保其访问的长期性。” “为了逃避检测并保持访问,攻击者还可能重命名易受攻击的 WP-Automatic 文件,从而使网站所有者或安全工具难以识别或阻止该问题。”
有问题的文件是“/wp-content/plugins/wp-automatic/inc/csv.php”,它被重命名为“/wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php”。
也就是说,黑客这样做可能是为了阻止其他攻击者利用已经在他们控制下的网站。
CVE-2024-27956由 WordPress 安全公司 Patchstack 于 2024 年 3 月 13 日公开披露。此后,已检测到超过 550 万次将该漏洞武器化的攻击尝试。
郭盛华还警告Poll Maker 插件中存在未修补的问题(CVE-2024-32514,CVSS 评分:9.9),该问题允许经过身份验证的攻击者(具有订户级及以上访问权限)在受影响站点的服务器上上传任意文件,从而导致远程代码执行。(欢迎转载分享)