WordPress插件零时差攻击漏洞执行技术支持诈骗

资安业者NinTechNet日前揭露知名WordPress插件Easy WP SMTP含有重大的零时差攻击漏洞,将允许黑客接管WordPress网站,随后另一资安业者Wordfence则发现,已有不同的黑客针对该漏洞展开攻击,其中一组利用它来执行技术支持诈骗。Easy WP SMTP可让WordPress用户藉由SMTP服务器配置及传送电子邮件,以避免自该站寄出的邮件被归类为垃圾邮件,估计全球有超过30万个WordPress网站安装了此一外挂。

WordPress插件零时差攻击漏洞执行技术支持诈骗_第1张图片

相关漏洞主要涉及Easy WP SMTP 1.3.9版新增的汇入/导出功能,它可用来汇入或导出插件的配置,并更新WordPress数据库的选项,然而,它并未检查使用者的权限,于是任何登入的用户或订阅用户都能够触发它,允许未经授权的使用者传送AJAX请求以执行任何程序。NinTechNet的研究人员打造了一个概念性验证程序,藉由汇入设定上传了一个含有恶意软件的档案,启用用户注册功能并把用户的默认身分设为数据库的管理员。同时NinTechNet也发现黑客已开采该漏洞,但黑客并非只建立一个管理员账号,而是让所有使用者都具备管理员权限,这意味着只要一个单纯的订阅用户就能执行管理功能。随后Wordfence更发现至少有两组黑客已针对该漏洞展开攻击。其中一组黑客只利用该漏洞来新增管理员账号,以备不时之需,但另一组黑客则进一步将使用者流量导至技术支持诈骗网页,企图展开诈骗行动。Easy WP SMTP是在3月15日得知此一漏洞的存在,并于3月17日释出了修补该漏洞的Easy WP SMTP 1.3.9.1版,有鉴于黑客仍在搜寻尚未修补相关漏洞的WordPress网站,资安专家们呼吁Easy WP SMTP用户应尽快部署最新版本。

你可能感兴趣的:(WordPress插件零时差攻击漏洞执行技术支持诈骗)