惡意腳本和後門針對 WordPress 外掛的關鍵缺陷
Fastly 警告稱,新一波網路攻擊正在利用三個廣泛使用的 WordPress 外掛程式中的漏洞,為網站注入惡意腳本和後門。這些嚴重缺陷使攻擊者能夠執行未經身份驗證的儲存跨站點腳本(XSS) 攻擊,從而促進創建未經授權的WordPress 管理員帳戶、將PHP 後門注入外掛程式和主題檔案以及設定追蹤腳本來監控受感染的站點。
Fastly 觀察到大量來自與自治系統 (AS) IP Volume Inc. 連結的 IP 的利用嘗試。
目錄
WP 統計漏洞:CVE-2024-2194
第一個漏洞影響 WP Statistics 插件,該插件擁有超過 60 萬個活躍安裝。此漏洞編號為 CVE-2024-2194,允許攻擊者透過 URL 搜尋參數注入腳本。 3 月披露,它影響 14.5 及更早版本。每當使用者造訪受感染的頁面時,注入的腳本就會執行,攻擊者將「utm_id」參數新增至請求中,以確保有效負載出現在最常被存取的頁面上。
WP 元 SEO 漏洞:CVE-2023-6961
第二個漏洞 CVE-2023-6961 影響 WP Meta SEO 插件,有超過 20,000 個活躍安裝。此錯誤允許攻擊者將有效負載注入產生 404 回應的頁面。當管理員載入此類頁面時,腳本會從遠端伺服器取得混淆的 JavaScript 程式碼。如果管理員通過了身份驗證,有效負載就可以竊取他們的憑證。
LiteSpeed 快取漏洞:CVE-2023-40000
第三個漏洞 CVE-2023-40000 針對 LiteSpeed Cache 插件,該插件的活躍安裝量超過 500 萬。攻擊者將 XSS 有效負載偽裝成管理員通知,在管理員造訪後端頁面時觸發腳本。這允許腳本使用管理員憑證執行後續惡意操作。
Fastly 的調查已識別出惡意負載中引用的 5 個網域,以及用於追蹤的另外兩個網域,其中至少有一個網域之前與易受攻擊的 WordPress 外掛程式的利用相關。建議使用受影響插件的網站管理員立即更新至最新版本,並監控其網站是否有任何可疑活動。