公共服务公告:WPGateway中的零日漏洞在野外被积极利用(9.13)
2022年9月8日,Wordfence威胁情报团队发现了一个积极利用的零日漏洞被用来向运行WPGateway插件的站点添加恶意管理员用户。我们在2022年9月8日的同一天就向Wordfence Premium、Wordfence Care和Wordfence Response客户发布了一条防火墙规则来阻止该漏洞利用。
仍在运行免费版Wordfence的站点也将在30天后,即2022年10月8日得到相同的保护。过去30天以来,Wordfence防火墙成功阻止了针对280,000多个站点的超过460万次针对此漏洞的攻击。
详细情况
漏洞详情
漏洞描述:未经身份认证的权限提升
受影响的插件:WPGateway
插件模块:wpgateway
插件开发人员:Jack Hopma/WPGateway
受影响的版本:3.5及以下版本
CVE ID:CVE-2022-3180 CVSS得分:9.8(严重)
CVSS模型:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 完整补丁版本:N/A
WPGateway插件是一个绑定到WPGateway云服务的高级插件,它为用户提供了一种从单个仪表板设置和管理WordPress站点的方法。部分插件功能暴露了一个漏洞,允许攻击者未经身份验证就能添加恶意管理员。
2022年9月9日,我们获得了该插件的当前副本,并确定它存在漏洞,当时我们联系了插件的厂商初步披露了该漏洞。我们为这个漏洞申请了漏洞编号CVE-2022-3180。
由于这是一个被积极利用的零日漏洞,且攻击者知道了利用它所需的机制,因此我们向所有用户发布此公共服务公告(PSA)。我们刻意隐瞒了一些细节,防止该漏洞被进一步利用。需要提醒的是,有管理员权限的攻击者已经完全有效接管了站点。
危害指标
该漏洞最常见的危害指标是系统中存在用户名为rangex的恶意管理员,可以由此确定某个站点是否受到此漏洞危害。 如果您看到此用户被添加到了您的控制面板中,说明您的站点已遭到破坏。 此外,您还可以检查您的站点访问日志,查看是否有对//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials = 1的请求。
如果日志中有这些请求,说明您的站点已受到针对此漏洞的利用攻击,但不能说明它已成功入侵。
结论
在本篇文章中,我们详细介绍了一个在WPGateway插件中被积极利用的零日漏洞。
Wordfence Premium、Wordfence Care和Wordfence Response的客户在2022年9月8日收到了一个防御此漏洞的防火墙规则,而仍然使用免费版Wordfence的站点将在30天后即2022年10月8日得到相同的保护。 如果您已经安装了WPGateway插件,我们强烈建议您立即删除它,直到补丁发布,并在WordPress控制面板中检查恶意管理员用户。 由于这是一个正在被广泛利用的严重漏洞,如果您认识在站点上使用此插件的朋友或同事,我们强烈建议将此公告转发给他们,帮助保护他们的站点。请让WordPress社区都知道这个漏洞。
如果您认为您的站点已经遭到此漏洞或其他漏洞破坏,我们将通过Wordfence Care为您提供事件响应服务。 我们的调查仍在进行中,我们将在其他博客文章中提供更多信息。 特别感谢威胁情报负责人Chloe Chamberland发现了在野利用的该漏洞。
参考链接
https://www.wordfence.com/blog/2022/09/psa-zero-day-vulnerability-in-wpgateway-actively-exploited-in-the-wild/?web_view=true
