攻击者正在积极利用 BackupBuddy 中的一个严重漏洞,这是一个 WordPress 插件,估计有 140,000 个网站正在使用该插件来备份其安装。
该漏洞允许攻击者从受影响的网站读取和下载任意文件,包括包含配置信息和敏感数据(例如可用于进一步危害的密码)的文件。
WordPress 安全供应商 Wordfence 报告称,从 26 月 XNUMX 日开始观察到针对该漏洞的攻击,并表示已 阻止了近 5 万次攻击 自那以后。 该插件的开发商 iThemes 于 2 月 XNUMX 日(即攻击开始一周多后)发布了该漏洞的补丁。 这增加了一种可能性,即至少一些使用该软件的 WordPress 网站在针对该漏洞的修复可用之前就已受到损害。
目录遍历错误
iThemes 在其网站上的一份声明中将目录遍历漏洞描述为影响网站运行 BackupBuddy 版本 8.5.8.0 至 8.7.4.1。 它敦促该插件的用户立即更新到 BackupBuddy 版本 8.75,即使他们当前没有使用该插件的易受攻击版本。
插件制造商警告说:“此漏洞可能允许攻击者查看服务器上可由 WordPress 安装读取的任何文件的内容。”
iThemes 的警报提供了有关网站运营商如何确定其网站是否已受到损害以及可以采取哪些步骤来恢复安全的指导。 这些措施包括重置数据库密码、更改数据库密码 WordPress 盐,并在其站点配置文件中轮换 API 密钥和其他机密。
Wordfence 表示,它发现攻击者利用该漏洞尝试检索“敏感文件,例如 /wp-config.php 和 /etc/passwd 文件,这些文件可用于进一步危害受害者。”
WordPress 插件安全:一个普遍存在的问题
BackupBuddy 缺陷只是近年来在 WordPress 环境中披露的数千个缺陷之一(几乎所有缺陷都涉及插件)。
iThemes 在今年早些时候的一份报告中表示,它发现 总共披露了 1,628 个 WordPress 漏洞 到 2021 年,其中超过 97% 会影响插件。 近一半 (47.1%) 的严重程度被评定为高至严重。 令人不安的是, 23.2% 的易受攻击插件没有已知的修复方法.
Dark Reading 对国家漏洞数据库 (NVD) 的快速扫描显示,仅在 XNUMX 月的第一周,就已披露了数十个影响 WordPress 网站的漏洞。
易受攻击的插件并不是 WordPress 网站唯一需要担心的问题; 恶意插件是另一个问题。 佐治亚理工学院的研究人员对超过 400,000 个网站进行的一项大规模研究发现, 恶意插件数量高达 47,337 个 安装在 24,931 个网站上,其中大多数仍然活跃。
JupiterOne 的首席信息安全官 Sounil Yu 表示,WordPress 环境中固有的风险与任何利用插件、集成和第三方应用程序来扩展功能的环境中存在的风险一样。
“与智能手机一样,此类第三方组件扩展了核心产品的功能,但它们也给安全团队带来了问题,因为它们显着增加了核心产品的攻击面,”他解释道,并补充说,审查这些产品也具有挑战性因为它们的数量庞大且缺乏明确的来源。
“安全团队有基本的方法,通常会粗略地看看我所说的三个 P:受欢迎程度、目的和权限,”Yu 指出。 “与苹果和谷歌管理的应用程序商店类似,市场需要进行更多审查,以确保恶意[插件、集成和第三方应用程序]不会给客户带来问题,”他指出。
另一个问题是,虽然 WordPress 被广泛使用Viakoo 首席执行官 Bud Broomhead 表示,它通常由营销或网页设计专业人士管理,而不是 IT 或安全专业人士。
“安装很容易,而拆卸则是事后才想到的,或者根本就没有完成,”布鲁姆黑德告诉 Dark Reading。 “就像攻击面已转移到 IoT/OT/ICS 一样,威胁行为者的目标是不受 IT 管理的系统,尤其是像 WordPress 这样广泛使用的系统。”
Broomhead 补充道,“即使 WordPress 发出有关插件存在漏洞的警报,安全以外的其他优先事项也可能会延迟恶意插件的删除。”
