最近有研究人员在WordPress的流行插件AMP中发现了允许WordPress站点的任意用户执行管理员操作的漏洞。通过对外网监测发现,现有一活跃的XSS攻击正是瞄准存在该漏洞的WordPress站点,它能安装后们并非法创建管理用户。
此次AMP插件中的漏洞是由于在老版本的插件中执行管理操作时缺少授权检查造成的。正如我某些媒体报道的一样,两个星期前发布了一个新版本(0.997.20),修复了这些问题。
但不幸的是,由于许多用户可能不知道这个安全漏洞或者没有定期更新站点的插件,这该漏洞依旧可以造成很大的危害。
根据WordFence威胁分析员Mikey Veenstra的研究,有一个正在进行的活动利用这些漏洞通过向易受攻击的WordPress站点注入恶意脚本对网站的管理员进行XSS攻击。
“从具体行为上看,整体攻击流程都自动化的,”Veenstra告诉BleepingComputer。鉴于在所有以确定的攻击活动中都存在User-Agent字段“Mozilla/5.0(Windows NT 6.1;Win64;x64;rv)”,以及尽管存在大量攻击IP,但payload的格式一致,所以这些攻击不太可能是手动执行。”
该恶意脚本托管在URL https://sslapis[.]com/assets/si/stat.js上,当在管理员的浏览器中执行该脚本时,将在管理站点上创建非法管理员用户。
WordFence的研究指出:“在管理员查看的页面上创建一个隐藏的if rame元素之后,然后模拟了创建新用户的过程。而过程中的重点就是选择Administrator角色,并模拟点击按钮发送click()事件,以创建具有管理员权限的新用户。”
而非法用户的用户名均为supportuuser和电子邮件均为supportuser72019@gmail.com进行配置,如下面的脚本片段所示。
在添加非法用户之后,脚本将枚举所有已安装的插件,并尝试将PHP后门注入到每个插件中。
所添加的后门使用ba se64编码进行混淆处理,经过解码为下面所示PHP代码,该PHP代码利用extract()函数将用户输入的数据分配给环境变量,然后由die()函数执行命令。
此后门通过读取已被植入后门的插件的URL附加的变量,并使用extract()函数将它们指定为环境变量来运作。然后,后门将执行die()函数,该函数将调用所写入变量cdate的任何命令,adate变量作为参数带入命令中。
由于AMP插件的流行,以及漏洞的严重性,强烈建议该插件的所有用户检查插件版本并删除可能存在的未知的管理帐户。如插件版本不是最新,应及时更新AMP插件到版本0.997.20或更高。
恶意脚本还启用了WooCommerce件
奇怪的是,如果你安装了WooCommerce插件,XSS脚本也会试图激活它。
该脚本通过连接到WordPress的plugins.php页面来实现这一点,该页面包含插件列表和激活它们的链接。该恶意脚本会搜索WooCub插件并在检测到时激活它。
WooCommerce是另一个流行的WordPress插件,它最近公开了一个允许任意用户获得管理权限的漏洞。
当BleepingComputer问Wordfence为什么他们认为脚本会启用该插件时,Veenstra推测,它可以用于以后从C2服务器下载payload。
“C2服务器上恶意脚本也许是可以动态替换的,如果WooCommerce插件被黑客利用,那么恶意脚本就可做到内联替换。目前还不清楚为什么使用ja vasc ript来执行这一阶段的攻击,管理员帐户和PHP后门都允许攻击者任意使用WooCommerce插件。我们的假设是,这样使得以后在C2服务器部署额外的XSS攻击脚本变得更容易。”
原文链接:https://www.bleepingcomputer.com/news/security/active-xss-attacks-targeting-amp-for-wp-wordpress-plugin/