网络安全研究人员警告,多个WordPress插件中的高严重性安全漏洞正在被威胁行为者积极利用,以创建流氓管理员帐户并进行后续攻击。研究人员Simran Khalsa、Xavier Stevens和Matthew Mathur指出,这些漏洞由于输入消毒和输出逃逸不足,容易受到未经身份验证的存储跨站点脚本(XSS)攻击,使攻击者能够注入恶意脚本。
涉及的安全漏洞包括:
- CVE-2023-6961(CVSS评分:7.2):WP Meta SEO中的未经身份验证的存储跨站点脚本(<= 4.5.12)
- CVE-2023-40000(CVSS评分:8.3):LiteSpeed Cache中的未经身份验证的存储跨站点脚本(<= 5.7)
- CVE-2024-2194(CVSS评分:7.2):WP统计中的未经身份验证的存储跨站点脚本(<= 14.5)
攻击链涉及注入指向外部域上托管的混淆JavaScript文件的有效载荷,该文件负责创建新的管理帐户、插入后门并设置跟踪脚本。PHP后门被注入到插件和主题文件中,而跟踪脚本旨在将包含HTTP主机信息的HTTP GET请求发送到远程服务器(“ur.mystiqueapi[.]com/?ur”)。
Fastly检测到大量来自与自治系统(AS)IP卷公司(AS202425)相关的IP地址的攻击尝试,其中大部分来自荷兰。值得注意的是,WordPress安全公司WPScan此前也披露了针对CVE-2023-40000的类似攻击,用以在易受攻击的网站上创建流氓管理员帐户。
为了减轻此类攻击带来的风险,建议WordPress网站所有者审查其安装的插件,应用最新更新,并审计网站以寻找恶意软件的迹象或可疑管理员用户的存在。
