近期,外来袭击频繁利用WordPress插件中的关键漏洞,从而控制数百万个网站。持续的攻击针对WordPress cookie同意插件中的未经身份验证的存储跨站点脚本(XSS)漏洞,该插件具有超过40,000个活动安装。
在XSS攻击中,威胁参与者将恶意JavaScript脚本注入易受攻击的网站,这些脚本将在访问者的Web浏览器中执行。影响可能包括未经授权访问敏感信息、会话劫持、通过重定向到恶意网站恶意软件或完全破坏目标系统导致数据泄露。
发现这些攻击的WordPress安全公司Defiant表示,该漏洞还允许未经身份验证的攻击者在运行未修补插件版本(包括2.10.1)的WordPress网站上创建流氓管理员帐户。
此次攻击活动中利用的安全漏洞已于1月份通过2.10.2版的发布进行了修补。“根据我们的记录,该漏洞自2023年2月5日以来一直受到频繁攻击,但这是我们所见过的针对它的大规模数据泄露攻击,”威胁分析师Ram Gall表示。“自2023年5月23日以来,我们已经阻止了来自近14,000个IP地址的近300万次针对超过150万个站点的攻击,并且攻击仍在继续。”
威胁行为者也开始探测运行Essential Addons for Elementor和WordPress Advanced Custom Fields插件的WordPress网站。这些攻击始于发布证明概念(PoC)漏洞之后,该漏洞允许未认证的攻击者在重置管理员密码并获取特权访问后劫持网站。