黑客一直使用過時版本的 LiteSpeed Cache 插件來攻擊 WordPress 網站,以創建管理員用戶并獲得網站的控制權。
LiteSpeed Cache ( LS Cache ) 是一種緩存插件,在超過 500 萬個 WordPress 網站中使用,該插件有助于加快頁面加載速度、改善訪問者體驗并提高 Google 搜索排名。
Automattic 的安全團隊 WPScan 在 4 月份觀察到,威脅分子使用 5.7.0.1 之前版本的插件掃描和破壞 WordPress 網站的活動有所增加,這些網站很容易受到高嚴重性 ( 8.8 ) 未經身份驗證的跨站點腳本漏洞的攻擊,該漏洞被追蹤爲 CVE-2023-40000。
掃描易受攻擊的站點時,來自一個 IP 地址 94 [ . ] 102 [ . ] 51 [ . ] 144 的探測請求超過 120 萬個。
WPScan 報告稱,這些攻擊利用注入關鍵 WordPress 文件或數據庫的惡意 JavaScript 代碼,創建名爲 "wpsupp-user" 或 "wp-configuser" 的管理員用戶。
感染的另一個迹象是數據庫中 "litespeed.admin_display.messages" 選項中存在 "eval ( atob ( Strings.fromCharCode" ) 字符串。
惡意 JS 代碼創建流氓管理員用戶
很大一部分 LiteSpeed Cache 用戶已遷移到不受 CVE-2023-40000 影響的更新版本,但仍有相當多的用戶(高達 1,835,000)運行易受攻擊的版本。
定位電子郵件訂閱者插件
攻擊者在 WordPress 網站上創建管理員帳戶能夠完全控制網站,從而允許他們修改内容、安裝插件、更改關鍵設置、将流量重定向到不安全的網站、分發惡意軟件、網絡釣魚或竊取可用的用戶數據。
近期,Wallarm 報告了另一項針對名爲 " 電子郵件訂閱者 " 的 WordPress 插件的活動,旨在創建管理員帳戶。
黑客利用了 CVE-2024-2876,這是一個嚴重的 SQL 注入漏洞,嚴重程度爲 9.8/10,影響插件版本 5.7.14 及更早版本。
在觀察到的攻擊實例中,CVE-2024-27956 已被用來對數據庫執行未經授權的查詢,并在易受攻擊的 WordPress 網站(例如以 "xtw" 開頭的網站)上建立新的管理員帳戶。
盡管 " 電子郵件訂閱者 " 的受歡迎程度遠不如 LiteSpeed Cache(總共有 90000 個活躍安裝),但觀察到的攻擊表明,黑客不會放過任何一個攻擊機會。
建議 WordPress 站點管理員将插件更新到最新版本,删除或禁用不需要的組件,并監控正在創建的新管理員帳戶。
如果确認違規,則必須進行全面的站點清理。該過程需要删除所有惡意帳戶,重置所有現有帳戶的密碼,并從幹淨的備份中恢複數據庫和站點文件。
