导语:近日,据外媒报道称,来自网络安全公司Sucuri的安全专家观察到新一轮针对Wordpress网站的wp-vcd恶意软件攻击活动,据悉,这些攻击主要利用了目标网站过时的插件和主题中存在的安全漏洞。

近日,据外媒报道称,来自网络安全公司Sucuri的安全专家观察到新一轮针对Wordpress网站的wp-vcd恶意软件攻击活动,据悉,这些攻击主要利用了目标网站过时的插件和主题中存在的安全漏洞。

研究人员发现,被标记为“wp-vcd”的恶意代码主要隐藏在合法的WordPress文件中,且被攻击者用于添加一个秘密的管理员账户,随后获取对受感染网站的完全控制权。

据悉,来自意大利的安全专家Manuel D'Orso于今年7月份率先发现了该恶意软件,他注意到,该恶意代码的初始版本通过一个名为“wp-vcd.php”的文件将恶意代码注入到WordPress核心文件中(例如functions.php和class.wp.php)。

研究人员还发现,wp-vcd恶意软件在过去的几个月内正在不断发展演变,且一直处于活跃状态。最近,来自Sucuri安全小组的研究人员发现了wp-vcd恶意软件的一个新变种,它能够将恶意代码注入到以“Twenty Fifteen”和“Twenty Sixteen”为主题的WordPress网站中,据悉,这两个主题分别是2015年和2016年发布的WordPress CMS默认主题。

所以说,这是一种利用主题文件来隐藏恶意代码的老式攻击策略,在特定情况下,该恶意软件会创建一个新的名为“100010010”的管理员账户,目的是就在目标安装中建立一个后门,以便攻击者可以在日后发起跨站脚本攻击。

研究人员表示,此次攻击者是利用了过时的插件和主题中存在的漏洞将wp-cvd上传到了脆弱的站点上。Sucuri在其发表的博客文章中表示,

“在我们发现的大多数案例中,恶意软件的注入都与过时的软件(插件或主题)有关。只要进行了简单的安全更新呢或是启用WAF都能够成功地阻断这种行为。该恶意代码非常简单,并没有通过编码或混淆函数来隐藏其恶意的意图……”

DOM-based-XSS-wordpress-2.jpg

过时和易受攻击的插件已经成为攻击者的特权入侵点,但是糟糕的是,上周,来自芬兰安全公司Klikki Oy的研究人员Jouko Pynnönen又在另外一个受欢迎的WordPress插件Formidable Forms中发现了多个安全漏洞,使网站暴露于攻击威胁之中。

Formidable Forms插件允许用户轻松创建联系页面,民意测验和调查等多种表格形式,其拥有超过20万的主动安装量。

但是,研究人员Pynnönen却在Formidable Forms插件中发现了多个安全漏洞,包括SQL注入漏洞、多个跨站点脚本(XSS)漏洞、未经验证的数据检索等,其中最为严重的当属SQL注入漏洞,它允许攻击者枚举受感染站点的数据库,并访问他们的数据,其中包括用户凭据以及通过Formidable Forms提交给网站的数据等。据悉,该漏洞同时影响Formidable Forms免费和付费两种版本,对用户造成极大威胁。

源链接

Hacking more

...