黑客新一轮的攻击针对流行Duplicator WordPress插件的网站

安全专家警告说，新一轮的攻击针对Duplicator WordPress插件中的零日漏洞。

上周，流行的Duplicator WordPress插件Snap Creek背后的开发团队解决了一个零日漏洞，该漏洞影响了至少一百万个网站。

现在，安全公司WordFence的研究人员正在警告新一波攻击，试图利用该流行插件中的漏洞。

Duplicator插件允许WordPress用户将站点从一个位置迁移，复制，移动或克隆到另一个位置，并且还用作简单的备份实用程序。Duplicator的下载量超过1500万，并活跃在超过100万个站点上。

专家声称已经监视了60,000次从目标网站收集敏感信息的尝试，其中50,000次是在插件作者解决此问题之前进行的。

“超过一百万个WordPress网站受到一个漏洞的影响，该漏洞使攻击者可以从受害者站点下载任意文件。我们敦促所有Duplicator用户尽快更新到1.3.28版。”阅读WordFence发布的帖子。

“我们正在野外主动检测到此漏洞的利用，并且估计超过半百万的站点仍在运行易受攻击的版本。”

该漏洞是一个任意文件下载漏洞，它会影响1.3.28版之前的Duplicator和3.8.7.1版之前的Duplicator Pro。

“攻击者可以通过提交以下值来访问Duplicator预期目录之外的文件：

../../../file.php浏览整个服务器的文件结构。

未经身份验证的远程攻击者可以通过使用易受攻击的复制插件版本向WordPress网站发送特制请求来利用此漏洞。

知道目标文件结构的攻击者可以从目标目录之外下载文件。

“未经身份验证的远程攻击者可以通过使用易受攻击的复制插件版本向WordPress网站发送特制请求来利用此漏洞。这样一来，他们可以将文件下载到预期目录之外。攻击者需要了解目标文件的结构，或者尝试下载众所周知的文件。

这些文件可能包括wp-config.php文件，在WordPress安装中被称为“最重要的文件之一”。

使用wp_ajax_nopriv_钩子实现了duplicator_download和duplicator_init这两个函数，即使在用户未登录的情况下，它们也可以在加载的每个WordPress页面上执行。

一旦攻击者访问WordPress站点配置文件，他们将获得文件中包含的数据库凭据以及身份验证密钥和盐。

“不管易受攻击的站点的平台如何，任意文件下载漏洞都可能是一个关键问题，但针对WordPress站点的此类攻击主要针对一个文件：wp-config.php。”

“根据网站的不同，wp-config.php可以包含任意数量的自定义代码，但是攻击者将其定位为访问网站的数据库凭据。使用这些凭据，如果攻击者允许远程连接，则攻击者可以直接访问受害者站点的数据库。攻击者可以使用此访问权限来创建他们自己的管理员帐户，并进一步破坏站点，或者只是注入内容或收集数据。”

在共享主机环境中，这种情况非常令人担忧，因为共享服务器上的一个用户可以访问同一服务器上另一站点的本地数据库。

据《 WordFence》报道，其专家所见过的几乎所有攻击都源自属于瓦尔纳数据中心EOOD的保加利亚数据中心的IP地址77.71.115.52。

同一台服务器托管着多个站点，这种情况表明攻击者可能正在通过受感染的网站代理攻击。专家还补充说，他们已经将IP地址与最近针对WordPress网站的其他恶意活动相关联。

Wordfence总结说：“ Duplicator插件的庞大安装基础，加上利用此漏洞的便捷性，使此漏洞成为黑客的重要目标。” “至关重要的是，Duplicator的用户应尽快将其插件更新到最新的可用版本，以消除这种风险。”

本文来源于：黑客新一轮的攻击针对流行Duplicator WordPress插件的网站-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。