攻击者利用WordPress插件BackupBuddy的零日漏洞(9.10)
约翰霍普金斯大学的研究人员开发了一种基于图形的代码分析工具,可以检测JavaScript程序中的各种漏洞。
详细情况
攻击者正在积极利用BackupBuddy中的一个严重漏洞,BackupBuddy是一款WordPress插件,估计有14万个网站正在使用该插件来备份安装。
该漏洞允许攻击者从受影响的网站读取和下载任意文件,包括那些包含配置信息和敏感数据(例如可用于进一步入侵的密码)的文件。
WordPress安全供应商Wordfence报告说,从8月26日开始观察到针对该漏洞的攻击,且自那时以来已经阻止了近500万次攻击。该插件的开发者iThemes在攻击开始了一周后,于9月2日发布了针对该漏洞的补丁。这增加了在该漏洞的修复程序可用之前至少有一些使用该插件的WordPress网站遭到入侵的可能性。
目录遍历漏洞
iThemes在其网站上的一份声明中将目录遍历漏洞描述为影响运行BackupBuddy 8.5.8.0至8.7.4.1版本的网站。iThemes敦促使用该插件的用户立即更新到BackupBuddy 8.75版本,即使他们目前没有使用该插件的易受攻击版本。
该插件制造商警告说:“此漏洞能够让攻击者查看服务器上任何可以被WordPress安装读取的文件内容。”
iThemes的警告指导网站运营商确定其网站是否遭到入侵以及可以采取的恢复安全的措施。这些措施包括重置数据库密码、更改其WordPress salts以及在站点配置文件中轮换API密钥等其他密钥。
Wordfence表示,已有攻击者利用该漏洞试图检索敏感文件,例如可用于进一步攻击受害者的 /wp-config.php 和 /etc/passwd 文件。
WordPress 插件:一个会传染的问题插件
近年来在WordPress环境中披露的数千个漏洞几乎都涉及插件,BackupBuddy漏洞只是其中一个。
在今年早些时候发布的一份报告中,iThemes表示,它在2021年共发现了1,628个已披露的WordPress漏洞,其中超过97%的漏洞影响了插件。高危到严重程度的占将近一半(47.1%)。并且麻烦的是,23.2%的易受攻击的插件没有已知的修复程序。
Dark Reading快速浏览了国家漏洞数据库(NVD),结果显示,在9月的第一周,影响WordPress网站的漏洞已经披露了数十个。
含有漏洞的插件并不是WordPress网站的唯一问题;恶意插件是另一个问题。佐治亚理工学院的研究人员对超过40万个网站进行的一项大规模研究发现,24,931个网站上安装了多达47,337个恶意插件,其中大多数仍然处于活动状态,令人震惊。
JupiterOne首席信息官Sounil Yu表示,WordPress环境存在的风险与任何利用插件、集成和第三方应用程序来扩展功能的环境中的风险一样。
他解释说:“与智能手机一样,此类第三方组件扩展了核心产品的功能,但它们对安全团队来说也是个问题,因为它们大大增加了核心产品的攻击面,” 他又补充说,它们数量太多且出处不明确,增大了审查的难度。
Yu指出:“安全团队有基本的方法,粗略来看就是我所说的三个P:受欢迎程度(popularity)、目的(purpose)和权限(permission)。”他指出:“与苹果和谷歌对其应用商店的管理类似,市场需要多开展审查,以确保恶意(插件、集成和第三方应用程序)不会给客户带来麻烦。”
Viakoo首席执行官Bud Broomhead表示,另一个问题在于,虽然WordPress被广泛使用,但它的管理者通常是营销或网页设计专业人员,而不是IT或安全专业人员。
Broomhead告诉Dark Reading:“安装很容易,卸载是都是后来考虑到的或者根本考虑不到。”“就像攻击面已经转移到IoT/OT/ICS一样,威胁行为者的目标不是受IT管理的系统,而是像WordPress这样广泛使用的系统。”
Broomhead补充说:“即使WordPress发出有关插件存在漏洞的警报,但安全以外的其他优先事项也可能会推迟删除恶意插件。”
参考链接
https://www.darkreading.com/attacks-breaches/attackers-exploit-zero-day-wordpress-plugin-vulnerability-backupbuddy
