一款流行的WordPress插件中存在一个0-day漏洞,50多万个网站安装了该款插件,黑客正在利用该0-day漏洞重置WordPress网站上的admin账户。
该0-day漏洞过去数周遭到攻击利用,已于12月7日得到修复。
该漏洞影响Easy WP SMTP插件,该插件允许用户通过SMTP服务器配置和发送所有的外发邮件,防止邮件进入收件人的垃圾文件夹。
Ninja Technologies Network公司(NinTechNet)的研究人员Jerome Burandet在12月7日发表了一篇文章,指出Easy WP SMTP插件1.4.2及之前版本含有一个可选的调试日志,其中含有网站发出的所有邮件消息。该日志位于该插件的安装文件夹“/wp-content/plugins/easy-wp-smtp/”中。该调试日志是个使用随机名称的文本文件。由于该插件的文件夹没有任何index.html文件,因此,在启用了目录列表的服务器上,黑客可以查找和查看该日志。
随后,攻击者就可以通过寻常的用户名枚举扫描,查找admin登录名,例如通过REST API。获取admin登录名后,攻击者可以访问登录页面,请求重置admin密码。随后,攻击者可以访问Easy WP SMTP调试日志,拷贝WordPress发出的重置链接。
获取该链接后,攻击者就可以重置admin密码,接管网站。
Bruandet称,在运行该插件脆弱版本的网站上,黑客已经在开展自动攻击,识别admin账户,重置密码。
Bruandet同时表示,该漏洞已遭到攻击利用,黑客在入侵网站后,会立即安装恶意插件,网站管理员应确保尽快更新至最新版本。
该插件的开发人员已通过将插件的调试日志移入WordPress日志文件夹,修复了该漏洞。修复该漏洞的最新版本为Easy WP SMTP 1.4.4版本。
该漏洞是该插件中发现的第二个0-day漏洞。NinTechNet公司的研究人员去年三月发现第一个遭到在野利用的0-day漏洞,当时黑客利用该Easy WP SMTP漏洞注册用户,并创建后门admin账户。
不过,与2019年3月相比,WordPress CMS现在已经具有了内置的主题和插件自动更新功能。
这是2020年8月发布的WordPress 5.5版本中新增的功能,如果启用了该功能,插件就能自动更新,保持运行最新版本,不需要等待管理员手工更新。
然而,目前尚不清楚有多少WordPress网站启用了该功能,以及受影响的50多万个WordPress网站中有多少网站正在运行最新的Easy WP SMTP版本。
根据WordPress.org的统计数据,运行该插件最新版本的网站数量并不多,这意味着许多网站仍然容易受到攻击。
——————————————————————————————————————
综合来源:ZDNet, WordPress, NinTechNet
来源:freebuf.com 2020-12-14 16:35:11 by: 偶然路过的围观群众
请登录后发表评论
注册