【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 黑客利用WordPress插件中的零日漏洞创建恶意管理员帐户 – 【四维创智】

黑客利用WordPress插件中的零日漏洞创建恶意管理员帐户

3月 14,2020by admin

黑客们正在利用ThemeREX Addons中的零日漏洞(安装在数千个站点上的WordPress插件)来创建具有管理员权限的用户帐户,并有可能完全接管易受攻击的网站。

 

 

他们的目标是ThemeREX插件,这是一个预装了所有ThemeREX商业主题的WordPress插件。该插件的作用是帮助ThemeREX产品的购买者设置他们的新站点并控制各种主题功能。Wordfence估计该插件已安装在超过44,000个站点上。
 

据WordPress安全公司称,该插件通过设置WordPress REST-API端点来工作,但并不会检查发送到此REST API的命令是否来自授权用户(即网站所有者)。
 
远程执行代码和创建管理员帐户
 
威胁分析师表示:“这意味着任何访客都可以执行远程代码,即使是未经身份认证的访问者也可以执行。”
 

她补充说:“我们看到的最令人担忧的主动攻击的能力是创建一个新的管理用户的能力,该用户可用于完整的站点接管。”

 

Chamberland说:“如果您运行的版本高于1.6.50,我们强烈建议用户暂时删除ThemeREX Addons插件,直到发布补丁为止。”

 

但是,对运行ThemeREX Addons插件的网站的攻击并不是目前发现的唯一攻击。
 

针对WordPress网站的第二波攻击,目标是运行ThemeGrill Demo Importer的网站,这是一个插件,附带主题由另一个WordPress主题制造者ThemeGrill出售。。

 

但是,这些攻击是破坏性的,而不是网络犯罪或僵尸网络操作的一部分。根据WebARX和在Twitter上发布的报告,黑客使用ThemeGrill插件中的bug清除数据库,并将WordPress站点重置为默认状态。
 
WordPress插件中的更多关键漏洞
 
超过200,000个WordPress站点运行此ThemeGrill插件。此外,在极少数情况下,攻击者还可以通过劫持其管理员帐户来接管易受攻击的站点。
 

这些就是所谓的“ 一日”攻击,该术语用于描述在为漏洞提供补丁后立即发生的攻击。ThemeGrill用户可以通过更新易受攻击的插件来减轻攻击。
 

另一方面,对ThemeREX的攻击是所谓的“零日”攻击,因为它们利用了一个没有补丁的bug。正如上面建议的Wordfence一样,强烈建议禁用这个插件,直到有补丁可用为止。