黑客利用大量的缓存缺陷来创建语言管理员 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

黑客利用大量的缓存缺陷来创建语言管理员

胡金鱼 新闻 2024-05-13 13:58:35
53730
收藏

导语:建议 WordPress 站点管理员将插件更新到最新版本,删除或禁用不需要的组件,并监控正在创建的新管理员帐户。

黑客一直使用过时版本的 LiteSpeed Cache 插件来攻击 WordPress 网站,以创建管理员用户并获得网站的控制权。

LiteSpeed Cache (LS Cache) 是一种缓存插件,在超过 500 万个 WordPress 网站中使用,该插件有助于加快页面加载速度、改善访问者体验并提高 Google 搜索排名。

Automattic 的安全团队 WPScan 在 4 月份观察到,威胁分子使用 5.7.0.1 之前版本的插件扫描和破坏 WordPress 网站的活动有所增加,这些网站很容易受到高严重性 (8.8) 未经身份验证的跨站点脚本漏洞的攻击,该漏洞被追踪为CVE-2023-40000。

扫描易受攻击的站点时,来自一个 IP 地址 94[.]102[.]51[.]144 的探测请求超过 120 万个。

WPScan 报告称,这些攻击利用注入关键 WordPress 文件或数据库的恶意 JavaScript 代码,创建名为“wpsupp-user”或“wp-configuser”的管理员用户。

感染的另一个迹象是数据库中“litespeed.admin_display.messages”选项中存在“eval(atob(Strings.fromCharCode”)字符串。

JS.webp.jpg

恶意 JS 代码创建流氓管理员用户 

很大一部分 LiteSpeed Cache 用户已迁移到不受 CVE-2023-40000 影响的更新版本,但仍有相当多的用户(高达 1,835,000)运行易受攻击的版本。

定位电子邮件订阅者插件

攻击者在 WordPress 网站上创建管理员帐户能够完全控制网站,从而允许他们修改内容、安装插件、更改关键设置、将流量重定向到不安全的网站、分发恶意软件、网络钓鱼或窃取可用的用户数据。

近期,Wallarm 报告了另一项针对名为“电子邮件订阅者”的 WordPress 插件的活动,旨在创建管理员帐户。

黑客利用了 CVE-2024-2876,这是一个严重的 SQL 注入漏洞,严重程度为 9.8/10,影响插件版本 5.7.14 及更早版本。

在观察到的攻击实例中,CVE-2024-27956 已被用来对数据库执行未经授权的查询,并在易受攻击的 WordPress 网站(例如以“xtw”开头的网站)上建立新的管理员帐户。

尽管“电子邮件订阅者”的受欢迎程度远不如 LiteSpeed Cache(总共有 90000 个活跃安装),但观察到的攻击表明,黑客不会放过任何一个攻击机会。

建议 WordPress 站点管理员将插件更新到最新版本,删除或禁用不需要的组件,并监控正在创建的新管理员帐户。

如果确认违规,则必须进行全面的站点清理。该过程需要删除所有恶意帐户,重置所有现有帐户的密码,并从干净的备份中恢复数据库和站点文件。

文章翻译自:https://www.bleepingcomputer.com/news/security/hackers-exploit-litespeed-cache-flaw-to-create-wordpress-admins/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务