大规模攻击WordPress网站的警报
重点信息
黑客对超过157000个WordPress网站实施大规模攻击,利用WooCommerce Payments插件中的漏洞此漏洞于2023年3月修复,CVSS评分为98,极具危险性攻击者使用多种高级技艺进行攻击,与以往的无差别攻击不同,本次攻击针对特定的网站最近,威胁行为者对成千上万的WordPress网站展开了大规模攻击,利用一个刚刚修复的漏洞,该漏洞存在于流行的 WooCommerce Payments 电子商务插件中。
免费加速器梯子推荐据WordPress安全公司Wordfence的威胁分析师Ram Gall在周一发布的文章中提到,该攻击活动于7月14日开始,并在7月16日达到高峰,针对157000个网站发起了130万次攻击。
WooCommerce Payments插件安装在超过600000个WordPress网站上,用于处理支付交易。攻击者旨在利用一个于3月修补的关键漏洞,该漏洞使对手能够通过该插件获得未经授权的管理员访问权限。
该漏洞跟踪编号为 CVE202328121,其CVSS v3评分为98,这让它成为威胁行为者“非常具有吸引力的目标”,Gall表示。
“这些攻击展现出了比以往类似攻击更高的复杂性,其中包括在主要攻击浪潮之前的侦察行动,以及使用管理员级用户可用的功能保持持久性的多种方法。”他说。此外,“与许多其他大规模活动通常对数百万网站进行无差别攻击不同,此次攻击似乎针对的是较小规模的网站。”
Wordfence观察到,来自一个IP地址19416917593的攻击次数超过了213000次,另有超过150000次攻击来自其他几个IP地址。
一旦威胁行为者获得了管理员权限,常常被观察到尝试安装WP Console插件,该插件可以用来执行恶意代码并在被攻陷的系统中放置一个文件上传器,以确保攻击的持续性。
本月早些时候,RCE Security的Julien Ahrens发布了一篇技术博客 分析了WooCommerce漏洞,并演示了用于利用该漏洞的概念证明。
“由于我们可以冒充行政用户,因此很容易妥协整个WordPress实例。”他说。
Gall表示,Wordfence在7月14日至16日之间的主要攻击浪潮之前就开始看到威胁行为者的“早期警告信号”。
攻击者搜索了数百万个网站,以检查wpcontent/plugins/woocommercepayments/目录下是否存在readmetxt文件。如果存在,这意味着该插件很可能存在漏洞。
在3月,WooCommerce发布了该漏洞的修复,并与WordPress合作,自动更新并修补运行WooCommerce Payments插件480至561版本的网站。
所有安装并激活了480或更高版本的插件,但未托管在WordPresscom上且未更新至修补版本的网站,仍可能面临该漏洞的风险。
