首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >安全资讯|攻击者正试图占领成千上万的WordPress网站

安全资讯|攻击者正试图占领成千上万的WordPress网站

作者头像
用户5836910
发布于 2022-06-02 08:26:55
发布于 2022-06-02 08:26:55
1.5K0
举报

攻击中利用的问题之一是一个零日漏洞,该漏洞会影响多个插件,并且可能使黑客创建管理员帐户并接管站点。

NinTechNet的研究人员报告了一个持续进行的活动,该活动在过去几个小时内观察到,该活动正在积极利用WordPress的WooCommerce灵活结帐字段中的零日漏洞。

该插件有20,000多个活动安装,并且其开发人员已经修复了影响版本2.3.1及更低版本的未经身份验证的存储XSS错误。

“在过去的几个小时中,该漏洞已得到积极利用,并且有数名用户被黑。我不会提供太多有关此问题的详细信息(尽管黑客已经对此有所了解),但是,基本上,因为任何人都可以访问插件设置,无论是否经过身份验证,黑客都可以使用它来注入新的字段和脚本 进入WooCommerce结帐页面。” 指出专家发表的帖子。

不幸的是,在过去的几个小时里,黑客还针对了其他零日漏洞。

WordPress安全公司Defiant的专家报告了WordPress插件在积极利用下的三个0day。

这三个0day分别是:

  • 一个订阅者+存储的XSS,会影响具有100,000多次安装的Async JavaScript插件。
  • 未经身份验证的XSS存储在10Web Map Builder for Google Maps插件中,安装量超过20,000。
  • 多个订户将XSS存储在具有超过40,000个安装的Modern Events Calendar Lite插件中。

“昨天早些时候, WooCommerce的灵活结帐字段插件进行了重要更新,以修补零日漏洞,攻击者可以利用该漏洞来修改插件的设置。” 阅读WordFence发布的公告。“在我们的威胁情报团队研究此攻击活动的范围时,我们在流行的WordPress插件中发现了三个额外的零日漏洞,这些漏洞已被用作该活动的一部分。目标插件是异步JavaScript,现代事件日历精简版和适用于Google Maps的10Web Map Builder。目前,我们已经与每个插件的开发团队联系,希望能够迅速解决这些问题。”

异步JavaScript和适用于Google Maps的10Web Map Builder的开发团队已经发布了安全更新以解决这个漏洞。

“此攻击活动利用上述插件中的XSS漏洞注入恶意Javascript,这些Javascript可以创建恶意的WordPress管理员并安装包括后门的恶意插件,” WordFence继续说道。“重要的是,使用这些插件的站点管理员必须紧急采取措施来减轻这些攻击。”

对于WordPress网站的管理员来说,现在不是一个好时期,几天前专家警告说,针对流行的Duplicator WordPress插件中的零日漏洞的新一轮攻击。

最近,其他WordPress插件的问题成为头条新闻:

  • 2020年1月– InfiniteWP插件中的身份验证绕过漏洞可能会受到300,000多个站点的影响。
  • 2020年1月–由于代码片段插件中存在严重的跨站点请求伪造(CSRF)错误,超过20万个WordPress网站受到攻击。
  • 2020年2月– ThemeGrill Demo Importer WordPress主题插件存在严重漏洞,活跃安装量超过200,000,可用于擦除网站并获得对该网站的管理员访问权限。
  • 2020年2月– GDPR Cookie Consent插件中存储的跨站点漏洞可能会影响70万用户。
  • 2020年2月– ThemeREX Addons中的零日漏洞已被黑客积极利用,以创建具有管理员权限的用户帐户。

我认为使用专用解决方案保护WordPress安装非常重要,我目前正在使用WordFence解决方案,该公司已获得评估高级功能的许可。


英文原文:

One of the issues exploited in the attacks is a zero-day vulnerability that affects several plugins and that could allow hackers to create admin accounts and take over the sites.

Researchers at NinTechNet reported an ongoing campaign, observed in the past hours, that is actively exploiting a zero-day flaw in the WordPress Flexible Checkout Fields for WooCommerce plugin.

The plugin has over 20,000 active installations, and its developers have already fixed the unauthenticated stored XSS bug that affects version 2.3.1 and below.

“The vulnerability has been actively exploited for the past hours and several users have been hacked. I’m not going to give too many details about this issue yet (although hackers already know about it), but, basically, because the plugin settings can be accessed by anybody, authenticated or not, hackers use it to inject new fields and scripts into the WooCommerce checkout page.” states the post published by the experts.

Unfortunately, other zero-day vulnerabilities were targeted by hackers in the past hours.

Experts at WordPress security firm Defiant reported three zero-day vulnerabilities in WordPress plugin under active exploitation.

The zero-day flaws are:

  • a subscriber+ stored XSS affecting the Async JavaScript plugin that has over 100,000 installs.
  • an unauthenticated stored XSS in the 10Web Map Builder for Google Maps plugin that has over 20,000 installs.
  • multiple subscriber stored XSS in Modern Events Calendar Lite plugin that has over 40,000 installs.

“Early yesterday, the Flexible Checkout Fields for WooCommerce plugin received a critical update to patch a zero-day vulnerability which allowed attackers to modify the plugin’s settings.” reads the advisory published by WordFence. “As our Threat Intelligence team researched the scope of this attack campaign, we discovered three additional zero-day vulnerabilities in popular WordPress plugins that are being exploited as a part of this campaign. The targeted plugins were Async JavaScript, Modern Events Calendar Lite, and 10Web Map Builder for Google Maps. At this time, we have reached out to each plugin’s development team in hopes of getting these issues resolved quickly.”

The development teams behind the Async JavaScript and 10Web Map Builder for Google Maps have already issued security updates to address the zero-day flaws.

“This attack campaign exploits XSS vulnerabilities in the above plugins to inject malicious Javascript that can create rogue WordPress administrators and install malicious plugins that include backdoors,” continues WordFence. “It is important that site administrators using these plugins urgently take steps to mitigate these attacks.”

It is not a good period for administrators of WordPress sites, a few days ago experts warned of a new wave of attacks targeting a zero-day vulnerability in the popular Duplicator WordPress Plugin.

Recently the issues with other WordPress plugins made the headlines:

  • Jan. 2020 – An authentication bypass vulnerability in the InfiniteWP plugin that could potentially impact by more than 300,000 sites.
  • Jan. 2020 – Over 200K WordPress sites are exposed to attacks due to a high severity cross-site request forgery (CSRF) bug in Code Snippets plugin.
  • Feb. 2020 – A serious flaw in the ThemeGrill Demo Importer WordPress theme plugin with over 200,000 active installs can be exploited to wipe sites and gain admin access to the site.
  • Feb. 2020 – A stored cross-site vulnerability in the GDPR Cookie Consent plugin that could potentially impact 700K users.
  • Feb. 2020 – A zero-day vulnerability in the ThemeREX Addons was actively exploited by hackers in the wild to create user accounts with admin permissions.

I believe it is very important to protect WordPress install with dedicated solutions, I’m currently using WordFence solution, the company provided with a license to evaluate the premium features.

文章由白帽技术与网络安全翻译整理,未经授权禁止转载!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-03-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 白帽技术与网络安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
FastJson详解
FastJson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Java微观世界
2025/01/21
3750
Fastjson 使用
fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean序列化为JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。
acc8226
2022/05/17
2.1K0
fastJson的JSONField注解
然后是deserialize:默认为true,如果为false,反序列化时会忽略该属性
阿超
2022/08/16
1.6K0
fastJson的JSONField注解
FastJson基本使用
5、注解属性 : deserialize 指定是否反序列化该字段,默认为 true
兮动人
2022/09/26
8890
用了几年的 Fastjson,最终替换成了 Jackson!
> 公众号:[Java小咖秀](https://t.1yb.co/jwkk),网站:[javaxks.com](https://www.javaxks.com)
Java小咖秀
2021/05/06
2.5K0
jsonfield注解不生效(write javabean error fastjson)
@jsonfield作用在field时,其name不仅定义了输入key的名称,同时也定义了输出的名称。
全栈程序员站长
2022/08/01
7K0
fastjson详解
  fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
良辰美景TT
2018/09/11
3.5K0
fastjson详解
SpringBoot - FastJson
​ fastjson提供了JSONField对序列化与反序列化进行定制,比如可以指定字段的名称,序列化的顺序。JSONField用于属性,方法方法参数上。JSONField的源码如下:
郭顺发
2021/12/17
1.9K0
json字符串忽略null,忽略字段,首字母大写等gson,jackson,fastJson实现demo,T data JSON.parseObject json转换
json字符串忽略null,忽略字段,首字母大写等gson,jackson,fastJson实现demo
oktokeep
2024/10/09
3160
FastJson 笔记
观察该类的继承与实现关系,不难发现,JSONObject 实现了 Map 接口,而 json 对象中的数据都是以”键:值”对形式出现,可以猜想, JSONObject 底层操作是由Map实现的。
Remember_Ray
2020/03/09
4.7K0
用了几年的 Fastjson,我最终替换成了Jackson!
作者:larva-zhh 来源:www.cnblogs.com/larva-zhh/p/11544317.html
Java技术栈
2021/05/11
6K0
走进Java接口测试之fastjson指南
在上文 走进Java接口测试之理解JSON和XML基础 我们介绍了 JSON 的基础知识,本文我们深入研究阿里巴巴的开源 JSON 解析库 fastjson。
高楼Zee
2019/07/17
1.6K0
吃透FastJSON,认准此文!
大家好,我是小菜,一个渴望在互联网行业做到蔡不菜的小菜。可柔可刚,点赞则柔,白嫖则刚!死鬼~看完记得给我来个三连哦!
蔡不菜丶
2021/02/08
1.1K0
阿里fastjson框架基础
fastjson 是阿里巴巴公司开源的一个json序列化、反序列化轻量级框架,号称最快。 是因为其内置算法的增强,以及序列化时对class进行了细节的微妙处理,更多细节请查看其项目源码:https://github.com/alibaba/fastjson 常用方法示例:
青山师
2023/05/05
3270
FastJson的使用
FastJson 的Wiki在这里:https://github.com/alibaba/fastjson/wiki/
bear_fish
2018/09/19
1.6K0
fastjson 笔记
demo/fastjson at master · suveng/demo · GitHub
suveng
2019/11/12
1.6K0
fastjson:差点被几个漏洞毁了一世英名
我是 fastjson,是个地地道道的杭州土著,但我始终怀揣着一颗走向全世界的雄心。这不,我在 GitHub 上的简介都换成了英文,国际范十足吧?
沉默王二
2020/12/29
6840
fastjson:差点被几个漏洞毁了一世英名
Java几种常用JSON库性能比较
本文通过JMH(即JavaMicrobenchmarkHarness,基于方法层面的基准测试,精网络
Java架构师必看
2021/07/15
5K0
Java几种常用JSON库性能比较
使用com.fasterxml.jackson.annotation的注解
是类注解,作用是json序列化时将java bean中的一些属性忽略掉,序列化和反序列化都受影响。
用户4396583
2024/08/01
1.1K0
Mson,让JSON序列化更快
本文由秦喆 芝任 天洲 赵鹏四位作者共同完成。 问题 我们经常需要在主线程中读取一些配置文件或者缓存数据,最常用的结构化存储数据的方式就是将对象序列化为JSON字符串保存起来,这种方式特别简单而且可以
美团技术团队
2018/03/13
2.1K0
Mson,让JSON序列化更快
相关推荐
FastJson详解
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档