有研究人員披露，黑客目前正積極利用 WordPress 的 WP Automatic 插件中的一個嚴重漏洞來創(chuàng)建具有管理權限的用戶賬戶，并植入后門以實現(xiàn)長期訪問。

WP Automatic 現(xiàn)已被安裝在 30000 多個網(wǎng)站上，讓管理員自動從各種在線資源導入內(nèi)容（如文本、圖片、視頻），并在 WordPress 網(wǎng)站上發(fā)布。該漏洞被認定為 CVE-2024-27956，嚴重程度為 9.9/10。

3 月 13 日，PatchStack 漏洞緩解服務的研究人員公開披露了這一漏洞，并將其描述為一個 SQL 注入漏洞，存在于插件的用戶驗證機制中，攻擊者可以繞過該機制來執(zhí)行惡意 SQL 查詢。

通過發(fā)送特制請求，攻擊者還可以將任意 SQL 代碼注入站點的數(shù)據(jù)庫并獲得提升的權限?？赡苡绊懙?3.9.2.0 之前的 WP Automatic 版本。

已觀察到超過 550 萬次攻擊嘗試

自 PatchStack 披露該安全問題以來，Automattic 的 WPScan 已觀察到超過 550 萬次試圖利用該漏洞的攻擊，其中大部分攻擊記錄于 3 月 31 日。

WPScan 報告稱，在獲得目標網(wǎng)站的管理員訪問權限后，攻擊者會創(chuàng)建后門并混淆代碼，使其更難被發(fā)現(xiàn)。

WPScan的一份報告中指出：一旦WordPress網(wǎng)站被入侵，攻擊者就會通過創(chuàng)建后門和混淆代碼來確保其訪問的持久性。為了防止其他黑客利用同樣的問題入侵網(wǎng)站并避免被發(fā)現(xiàn)，黑客還會將有漏洞的文件重命名為 “csv.php”。黑客一旦成功控制了網(wǎng)站，通常會安裝額外的插件，允許上傳文件和編輯代碼。

WPScan 提供了一套入侵指標，可以幫助管理員確定網(wǎng)站是否被黑客入侵。管理員可以通過查找是否存在以 “xtw ”開頭的管理員賬戶以及名為 web.php 和 index.php 的文件（這兩個文件是在最近的攻擊活動中植入的后門）來檢查黑客接管網(wǎng)站的跡象。

為降低被入侵的風險，研究人員建議 WordPress 網(wǎng)站管理員將 WP Automatic 插件更新到 3.92.1 或更高版本。

為了應對這種威脅，研究人員敦促網(wǎng)站所有者立即采取行動保護他們的WordPress網(wǎng)站。并提出了幾種主要的緩解措施，包括：

• 插件更新： 確保WP-Automatic插件已更新到最新版本。
• 用戶帳戶審查：定期審查和審核 WordPress 中的用戶帳戶，刪除任何未經(jīng)授權或可疑的管理員用戶。
• 安全監(jiān)控：使用強大的安全監(jiān)控工具和服務（如 Jetpack Scan）來檢測和響應您網(wǎng)站上的惡意活動。此外，如果您使用的是 Jetpack Scan，并且希望增強網(wǎng)站的安全性，請考慮啟用增強保護。通過激活此功能，您可以授權 Web 應用程序防火墻 （WAF） 檢查針對可能易受攻擊的獨立 PHP 文件的請求。這意味著，即使攻擊者試圖直接向 PHP 文件發(fā)送請求，我們的 WAF 也會在那里檢查并保護您的網(wǎng)站免受潛在威脅。
• 備份和還原： 維護網(wǎng)站數(shù)據(jù)的最新備份，以便在發(fā)生入侵時快速恢復。

對于使用舊版本 wp-automatic 插件的 Jetpack WAF 用戶，我們創(chuàng)建了一個規(guī)則，可以有效地阻止對易受攻擊的 PHP 文件的訪問，確保所有惡意請求都被拒絕。我們還在惡意軟件數(shù)據(jù)庫中添加了新規(guī)則，以檢測和清除此活動中使用的惡意軟件。

WPScan 還建議網(wǎng)站所有者經(jīng)常創(chuàng)建網(wǎng)站備份，以便在出現(xiàn)漏洞時快速安裝副本。