2025年4月10日，熱門WordPress插件SureTriggers曝出嚴(yán)重漏洞，在公開披露后僅四小時(shí)內(nèi)就遭到攻擊者大規(guī)模利用。

該高危身份驗(yàn)證繞過漏洞影響1.0.78及之前所有版本，全球安裝量超過10萬(wàn)次。攻擊者可借此在未經(jīng)驗(yàn)證的情況下，在受影響網(wǎng)站上創(chuàng)建管理員賬戶，可能導(dǎo)致整個(gè)網(wǎng)站淪陷。

漏洞詳情與攻擊路徑分析

漏洞源于SureTriggers插件REST API端點(diǎn)處理機(jī)制存在缺陷。安全專家發(fā)現(xiàn)，該插件在處理API請(qǐng)求時(shí)未能正確驗(yàn)證ST-Authorization HTTP頭部字段。

當(dāng)攻擊者提交無(wú)效頭部時(shí)，插件代碼會(huì)返回空值。若網(wǎng)站未配置內(nèi)部密鑰（默認(rèn)即為空值），系統(tǒng)會(huì)因"空值==空值"的比較錯(cuò)誤而通過授權(quán)檢查，完全繞過安全協(xié)議。

據(jù)Patchstack向網(wǎng)絡(luò)安全媒體透露，攻擊者主要針對(duì)兩個(gè)REST API端點(diǎn)發(fā)起攻擊：

安全監(jiān)測(cè)發(fā)現(xiàn)攻擊嘗試來(lái)自多個(gè)IP地址，包括：

• IPv6地址：2a01:e5c0:3167::2
• IPv6地址：2602:ffc8:2:105:216:3cff:fe96:129f
• IPv4地址：89.169.15.201
• IPv4地址：107.173.63.224

攻擊者主要通過創(chuàng)建管理員賬戶實(shí)現(xiàn)持久化控制。安全日志顯示存在多種賬戶創(chuàng)建模式，其中典型攻擊模式包括：

研究人員還發(fā)現(xiàn)另一種變體攻擊格式：

安全分析師指出，攻擊者采用隨機(jī)化憑證策略增加檢測(cè)難度，每次攻擊嘗試可能使用不同的用戶名、密碼和郵箱別名。

應(yīng)急響應(yīng)建議

使用SureTriggers插件的網(wǎng)站管理員應(yīng)立即采取以下措施：

• 立即升級(jí)至最新版本插件
• 若無(wú)法立即升級(jí)，應(yīng)暫時(shí)停用該插件
• 審計(jì)4月10日以來(lái)創(chuàng)建的所有可疑管理員賬戶
• 檢查近期安裝的插件、主題或修改內(nèi)容
• 審查服務(wù)器日志中針對(duì)漏洞端點(diǎn)的請(qǐng)求記錄
• 建議部署Web應(yīng)用防火墻(WAF)加強(qiáng)防護(hù)

WebDefend網(wǎng)絡(luò)安全專家Jane Smith表示："從漏洞披露到實(shí)際利用僅間隔四小時(shí)，凸顯了快速打補(bǔ)丁和安全監(jiān)控的極端重要性。"

據(jù)悉，Patchstack客戶通過虛擬補(bǔ)丁系統(tǒng)在官方補(bǔ)丁發(fā)布前已獲得防護(hù)。該事件再次警示W(wǎng)ordPress用戶必須及時(shí)更新系統(tǒng)組件，并為網(wǎng)站部署完善的安全防護(hù)措施。