黑客试图利用 WordPress 插件漏洞，该漏洞非常严重

研究人员表示，黑客正在使用一个著名的 WordPress 插件攻击网站，并进行了数百万次尝试，以利用一个允许完全接管的高严重性漏洞。

该漏洞存在于 WordPress 自动，一个拥有超过 38,000 名付费客户的插件。 运行 WordPress 内容管理系统的网站使用它来合并来自其他网站的内容。 安全公司 Patchstack 的研究人员 上个月披露 WP 自动版本 3.92.0 及更低版本存在一个漏洞，严重程度为 9.9（满分 10）。插件开发者 ValvePress 悄悄发布了一个补丁，该补丁可在 3.92.1 及更高版本中使用。

研究人员已将这个编号为 CVE-2024-27956 的缺陷归类为 SQL 注入，这是一类由于 Web 应用程序无法正确查询后端数据库而产生的漏洞。 SQL 语法使用撇号来指示数据字符串的开头和结尾。 通过在易受攻击的网站字段中输入带有特殊位置的撇号的字符串，攻击者可以执行执行各种敏感操作的代码，包括返回机密数据、授予管理系统权限或破坏 Web 应用程序的工作方式。

Patchstack 研究人员在 3 月 13 日写道：“这个漏洞非常危险，预计会被大规模利用。”

网络安全公司 WPScan 星期四说 自 3 月 13 日 Patchstack 披露以来，已记录了超过 550 万次利用该漏洞的尝试。 WPScan 表示，这些尝试开始缓慢，并于 3 月 31 日达到顶峰。该公司没有透露其中有多少尝试成功。

WPScan 表示，CVE-2024-27596 允许未经身份验证的网站访问者创建管理员级用户帐户、上传恶意文件并完全控制受影响的网站。 该漏洞存在于插件处理用户身份验证的方式中，允许攻击者绕过正常的身份验证过程并注入 SQL 代码，从而授予他们提升的系统权限。 从那里，他们可以上传并执行恶意有效负载，重命名敏感文件，以防止网站所有者或其他黑客控制被劫持的网站。

成功的攻击通常遵循以下过程：

• SQL注入（SQLi）： 攻击者利用 WP-Automatic 插件中的 SQLi 漏洞执行未经授权的数据库查询。
• 管理员用户创建： 凭借执行任意 SQL 查询的能力，攻击者可以在 WordPress 中创建新的管理员级用户帐户。
• 恶意软件上传： 创建管理员级帐户后，攻击者就可以将恶意文件（通常是 Web shell 或后门）上传到受感染网站的服务器。
• 文件重命名： 攻击者可以重命名易受攻击的 WP-Automatic 文件，以确保只有他可以利用它。

WPScan 研究人员解释说：

一旦 WordPress 网站遭到入侵，攻击者就会通过创建后门和混淆代码来确保其访问的长期性。 为了逃避检测并保持访问，攻击者还可能重命名易受攻击的 WP-Automatic 文件，从而使网站所有者或安全工具难以识别或阻止该问题。 值得一提的是，这也可能是攻击者发现的一种避免其他不良行为者成功利用其已受感染网站的方法。 此外，由于攻击者可以使用他们获得的高权限在网站上安装插件和主题，我们注意到，在大多数受感染的网站中，不良行为者安装了允许他们上传文件或编辑代码的插件。

这些攻击于 3 月 13 日后不久开始，即 ValvePress 发布 3.92.1 版本 15 天后，但在发行说明中未提及关键补丁。 ValvePress 代表没有立即回复寻求解释的消息。

虽然 Patchstack 和 WPScan 的研究人员将 CVE-2024-27956 归类为 SQL 注入，但一位经验丰富的开发人员表示，他对该漏洞的解读是，要么是授权不当（CWE-285）或不当访问控制的子类别（CWE-284）。

“据 Patchstack.com 报道，程序是 应该 接收并执行 SQL 查询，但只能来自授权用户，”这位不愿透露姓名的开发人员在在线采访中写道。 “该漏洞在于它在执行查询之前检查用户凭据的方式，从而允许攻击者绕过授权。 SQL 注入是指攻击者将 SQL 代码嵌入到本应只是数据的内容中，但这里的情况并非如此。”

无论分类如何，该漏洞都非常严重。 用户应立即修补插件。 他们还应该使用上面链接的 WPScan 帖子中提供的妥协数据指标仔细分析其服务器是否存在被利用的迹象。