黑客正在積極利用流行的 Elementor Pro WordPress 插件中的高危漏洞在網站上安裝後門程序。
Elementor Pro 是一個 WordPress 頁面構建器插件,允許用戶在不知道如何編碼的情況下輕鬆構建具有專業外觀的網站,具有拖放、主題構建、模板集合、自定義小部件支持和用於在線商店的 WooCommerce 構建器。
該漏洞由 NinTechNet 研究員 Jerome Bruandet 於 2023 年 3 月 18 日發現,他本周分享了有關如何在與 WooCommerce 一起安裝時利用該漏洞的技術細節。
該問題影響 v3.11.6 及其之前的所有版本,允許經過身份驗證的用戶(如商店客戶或站點成員)更改站點設置,甚至執行完整的站點接管。
研究人員解釋說,該漏洞涉及插件的 WooCommerce 模塊(「elementor-pro/modules/woocommerce/module.php」)上的訪問控制被破壞,允許任何人在未經適當驗證的情況下修改資料庫中的 WordPress 選項。
該漏洞是通過一個易受攻擊的 AJAX 操作「pro_woocommerce_update_page_option」被利用的,該操作存在輸入驗證執行不力和缺乏功能檢查的問題。
「經過身份驗證的攻擊者可以利用該漏洞通過啟用註冊並將默認角色設置為「管理員」來創建管理員帳戶,更改管理員電子郵件地址,或者通過更改 siteurl 以及其他許多可能性將所有流量重定向到外部惡意網站,」 Bruandet 在一篇關於該錯誤的技術文章中解釋道。
創建惡意重定向 (blog.nintechnet.com)
需要注意的是,對於要利用的特定漏洞,還必須在站點上安裝 WooCommerce 插件,這會激活 Elementor Pro 上相應的易受攻擊的模塊。
Elementor 插件漏洞被積極利用
WordPress 安全公司PatchStack 現在報告說,黑客正在積極利用此 Elementor Pro 插件漏洞將訪問者重定向到惡意域(「away[.]trackersline[.]com」)或將後門上傳到被破壞的站點。
PatchStack 表示,在這些攻擊中上傳的後門名為 wp-resortpark.zip、wp-rate.php 或 lll.zip
雖然沒有提供有關這些後門的詳細信息,但 BleepingComputer 發現了 lll.zip 存檔的樣本,其中包含一個 PHP 腳本,允許遠程攻擊者將其他文件上傳到受感染的伺服器。
這個後門將允許攻擊者獲得對 WordPress 站點的完全訪問許可權,無論是竊取數據還是安裝其他惡意代碼。
PatchStack 表示,大多數針對易受攻擊網站的攻擊都來自以下三個 IP 地址,因此建議將它們添加到阻止列表中:
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
如果您的站點使用 Elementor Pro,則必須儘快升級到版本 3.11.7 或更高版本(最新可用版本為 3.12.0 ),因為黑客已經將易受攻擊的網站作為目標。
上周,WordPress強制更新了在線商店的 WooCommerce 支付插件,以解決一個嚴重漏洞,該漏洞允許未經身份驗證的攻擊者獲得對易受攻擊站點的管理員訪問許可權。
23 年 4 月 10 日更新:更新標題和文章以刪除 1100 萬參考。這個數字是同時使用免費版和專業版的用戶總數。感謝 PluginVulnerabilities 的更正。