黑客現在正在通過大規模互聯網掃描在數千個 WordPress 網站上積極探測 Essential Addons for Elementor 插件版本,試圖利用本月早些時候披露的一個關鍵帳戶密碼重置漏洞。
該嚴重缺陷被追蹤為 CVE-2023-32243,影響 Elementor 5.4.0 至 5.7.1 版的 Essential Addons,允許未經身份驗證的攻擊者任意重置管理員帳戶的密碼並控制網站。
PatchStack 於 2023 年 5 月 8 日發現了影響超過一百萬個網站的漏洞,並於 5 月 11 日由供應商修復,並發布了插件版本 5.7.2。
2023 年 5 月 14 日,研究人員在 GitHub 上發布了概念驗證 (PoC) 漏洞,使該工具廣泛可供攻擊者使用。
當時,一位 BleepingComputer 讀者和網站所有者報告說,他們的網站遭到黑客攻擊,黑客利用該漏洞重置了管理員密碼。儘管如此,剝削的規模仍然未知。
昨天發布的 Wordfence 報告提供了更多信息,該公司聲稱觀察到數百萬次針對網站上是否存在該插件的探測嘗試,並阻止了至少 6,900 次利用嘗試。
在漏洞披露後的第二天,WordFence 記錄了 5,000,000 次探測掃描,尋找插件的「readme.txt」文件,其中包含插件的版本信息,從而確定站點是否存在漏洞。
記錄的每日掃描次數 (Wordfence)
「雖然有些服務會出於合法目的探測安裝數據,但我們認為這些數據表明攻擊者在漏洞被披露後立即開始尋找易受攻擊的站點,」 Wordfence 在報告中評論道。
大多數這些請求僅來自兩個 IP 地址,「185.496.220.26」和「185.244.175.65」。
在利用嘗試方面,IP地址「78.128.60.112」的數量相當可觀,利用了GitHub上發布的PoC漏洞。其他排名靠前的攻擊 IP 的嘗試次數在 100 到 500 次之間。
大多數利用嘗試的起源 (Wordfence)
建議使用「Essential Addons for Elementor」插件的網站所有者通過立即安裝 5.7.2 或更高版本來應用可用的安全更新。
「考慮到此漏洞很容易被成功利用,我們強烈建議插件的所有用戶儘快更新,以確保他們的網站不會受到此漏洞的影響,」Wordfence 建議。
此外,網站管理員應該使用 Wordfence 報告中列出的危害指標,並將違規 IP 地址添加到黑名單中,以阻止這些攻擊和未來的攻擊。
2023 年 6 月 20 日,Wordfence 的免費安全包的用戶將受到 CVE-2023-32243 的保護,因此他們目前也暴露在外。