WordPress插件零时差攻击漏洞执行技术支持诈骗

资安业者NinTechNet日前揭露知名WordPress插件Easy WP SMTP含有重大的零时差攻击漏洞，将允许黑客接管WordPress网站，随后另一资安业者Wordfence则发现，已有不同的黑客针对该漏洞展开攻击，其中一组利用它来执行技术支持诈骗。Easy WP SMTP可让WordPress用户藉由SMTP服务器配置及传送电子邮件，以避免自该站寄出的邮件被归类为垃圾邮件，估计全球有超过30万个WordPress网站安装了此一外挂。

相关漏洞主要涉及Easy WP SMTP 1.3.9版新增的汇入/导出功能，它可用来汇入或导出插件的配置，并更新WordPress数据库的选项，然而，它并未检查使用者的权限，于是任何登入的用户或订阅用户都能够触发它，允许未经授权的使用者传送AJAX请求以执行任何程序。NinTechNet的研究人员打造了一个概念性验证程序，藉由汇入设定上传了一个含有恶意软件的档案，启用用户注册功能并把用户的默认身分设为数据库的管理员。同时NinTechNet也发现黑客已开采该漏洞，但黑客并非只建立一个管理员账号，而是让所有使用者都具备管理员权限，这意味着只要一个单纯的订阅用户就能执行管理功能。随后Wordfence更发现至少有两组黑客已针对该漏洞展开攻击。其中一组黑客只利用该漏洞来新增管理员账号，以备不时之需，但另一组黑客则进一步将使用者流量导至技术支持诈骗网页，企图展开诈骗行动。Easy WP SMTP是在3月15日得知此一漏洞的存在，并于3月17日释出了修补该漏洞的Easy WP SMTP 1.3.9.1版，有鉴于黑客仍在搜寻尚未修补相关漏洞的WordPress网站，资安专家们呼吁Easy WP SMTP用户应尽快部署最新版本。