恶意脚本和后门针对关键的 WordPress 插件缺陷
Fastly 警告称,新一波网络攻击正在利用三个广泛使用的 WordPress 插件中的漏洞,向网站注入恶意脚本和后门。这些严重漏洞使攻击者能够执行未经身份验证的存储型跨站点脚本 (XSS) 攻击,从而帮助创建未经授权的 WordPress 管理员帐户、向插件和主题文件中注入 PHP 后门以及设置跟踪脚本来监控受感染的网站。
Fastly 观察到大量来自与自治系统 (AS) IP Volume Inc. 相关的 IP 的攻击尝试。受影响的插件包括 WP Statistics、WP Meta SEO 和 LiteSpeed Cache,影响了数百万个活跃安装。
目录
WP 统计漏洞:CVE-2024-2194
第一个漏洞影响 WP Statistics 插件,该插件拥有超过 600,000 个活跃安装。该漏洞被追踪为 CVE-2024-2194,允许攻击者通过 URL 搜索参数注入脚本。该漏洞于 3 月披露,影响 14.5 及更早版本。每当用户访问受感染的页面时,注入的脚本就会执行,攻击者会在请求中添加“utm_id”参数,以确保有效负载出现在访问量最大的页面上。
WP Meta SEO 漏洞:CVE-2023-6961
第二个漏洞 CVE-2023-6961 影响 WP Meta SEO 插件,该插件有超过 20,000 个活跃安装。此漏洞允许攻击者将有效载荷注入生成 404 响应的页面。当管理员加载此类页面时,脚本会从远程服务器获取混淆的 JavaScript 代码。如果管理员经过身份验证,有效载荷可以窃取他们的凭据。
LiteSpeed Cache 漏洞:CVE-2023-40000
第三个漏洞 CVE-2023-40000 针对的是 LiteSpeed Cache 插件,该插件的活跃安装量超过 500 万。攻击者将 XSS 负载伪装成管理员通知,在管理员访问后端页面时触发脚本。这允许脚本使用管理员的凭据执行后续恶意操作。
Fastly 的调查已确定恶意负载中引用的五个域名以及用于跟踪的另外两个域名,其中至少一个之前与利用易受攻击的 WordPress 插件有关。建议使用受影响插件的网站管理员立即更新到最新版本并监控其网站是否有任何可疑活动。