在另一个软件供应链攻击实例中,托管在开发人员网站上的数十个 WordPress 主题和插件在 2021 年 9 月上半月被恶意代码后门,目的是感染更多网站。
后门使攻击者可以完全管理使用属于 AccessPress Themes 的 40 个主题和 53 个插件的网站,这家位于尼泊尔的公司拥有不少于 360,000 个活跃的网站安装。
WordPress 插件套件开发商 JetPack 的安全研究人员在本周发布的一份报告中表示:“受感染的扩展程序包含一个用于 Web shell 的释放器,使攻击者可以完全访问受感染的站点。” “如果直接从 WordPress[.]org 目录下载或安装相同的扩展程序,则可以。”
该漏洞已被分配标识符CVE-2021-24867。网站安全平台 Sucuri 在另一项分析中表示,发现利用此后门的一些受感染网站具有可追溯到近三年的垃圾邮件有效负载,这意味着该操作背后的参与者正在向其他垃圾邮件活动的运营商出售网站访问权限。
本月初,网络安全公司 eSentire 披露了属于合法企业的受损 WordPress 网站如何被用作恶意软件传播的温床,为毫无戒心的用户在谷歌等搜索引擎上使用名为GootLoader的植入物搜索婚后或知识产权协议。
建议直接从 AccessPress Themes 网站安装插件的网站所有者立即升级到安全版本,或将其替换为 WordPress[.]org 的最新版本。此外,它需要部署一个干净的 WordPress 版本来恢复在安装后门期间所做的修改。
调查结果还发布之际,WordPress 安全公司 Wordfence 披露了一个现已修补的跨站点脚本 (XSS) 漏洞的详细信息,该漏洞影响了一个名为“WordPress 电子邮件模板设计器 - WP HTML 邮件”的插件,该插件安装在 20,000 多个网站上。
该漏洞的编号为 CVE-2022-0218,在 CVSS 漏洞评分系统中的评级为 8.3,并已作为 2022 年 1 月 13 日发布的更新(版本 3.1)的一部分得到解决。
Chloe Chamberland说: “这个缺陷使得未经身份验证的攻击者可以注入恶意 JavaScript,只要站点管理员访问模板编辑器,就会执行该 JavaScript 。 ” “此漏洞还允许他们修改电子邮件模板以包含任意数据,这些数据可用于对从受感染站点接收电子邮件的任何人执行网络钓鱼攻击。”
根据Risk Based Security 本月发布的统计数据,到 2021 年底,第三方 WordPress 插件中发现并报告了多达 2240 个安全漏洞,比 2020 年增加了 142%,当时披露了近 1000 个漏洞。迄今为止,共发现了 10,359 个 WordPress 插件漏洞。
