黑客正积极针对 YITH WooCommerce Gift Cards Premium 中的一个严重缺陷,这是一个在 50,000 多个网站上使用的 WordPress 插件。
YITH WooCommerce 礼品卡高级版是网站运营商在其在线商店中销售礼品卡的插件。
利用此漏洞,跟踪为CVE-2022-45359 (CVSS v3:9.8),允许未经身份验证的攻击者将文件上传到易受攻击的站点,包括提供对该站点的完全访问权限的 Web shell。
CVE-2022-45359 于 2022 年 11 月 22 日向公众披露,影响 3.19.0 之前的所有插件版本。解决该问题的安全更新版本为 3.20.0,而供应商目前已经发布了 3.21.0,这是推荐的升级目标。
不幸的是,许多网站仍在使用旧的、易受攻击的版本,并且黑客已经设计出有效的漏洞来攻击它们。
据 Wordfence 的 WordPress 安全专家称,利用工作正在顺利进行,黑客利用该漏洞在网站上上传后门,获取远程代码执行,并进行接管攻击。
积极利用攻击
Wordfence 对黑客在攻击中使用的漏洞进行了逆向工程,发现问题出在运行在“admin_init”挂钩上的插件的“import_actions_from_settings_panel”函数中。
此外,此功能不会在易受攻击的版本中执行 CSRF 或功能检查。
这两个问题使未经身份验证的攻击者可以使用适当的参数向“/wp-admin/admin-post.php”发送 POST 请求,从而在站点上上传恶意 PHP 可执行文件。
恶意请求在日志中显示为来自未知 IP 地址的意外 POST 请求,这应该是站点管理员受到攻击的标志。
Wordfence 发现的上传文件如下:
- kon.php/1tes.php – 该文件从远程位置 (shell[.]prinsh[.]com) 在内存中加载“marijuana shell”文件管理器的副本
- b.php——简单的上传文件
- admin.php——受密码保护的后门
分析师报告说,大多数攻击发生在 11 月,当时管理员尚未修复该漏洞,但在 2022 年 12 月 14 日出现了第二个高峰。
IP 地址 103.138.108.15 是一个重要的攻击源,对 10,936 个网站发起了 19,604 次利用尝试。下一个最大的 IP 地址是 188.66.0.135,它对 928 个 WordPress 站点进行了 1,220 次攻击。
目前漏洞利用尝试仍在进行中,建议使用YITH WooCommerce Gift Cards Premium插件的用户尽快升级到3.21版本。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用WordPress礼品卡插件中的漏洞安装了5万次
