影响WordPress的LiteSpeed Cache插件的高度严重缺陷正在被威胁者积极利用,在易受影响的网站上创建流氓管理员帐户。
调查结果来自WPScan,它表示该漏洞(CVE-2023-40000,CVSS得分:8.3)已被利用来设置名为wpsupp-user和wp-configuser的虚假管理员用户。
Patchstack于2024年2月披露的CVE-2023-40000是一个存储的跨站点脚本(XSS)漏洞,可能允许未经身份验证的用户通过特制的HTTP请求提升特权。
该缺陷于2023年10月在5.7.0.1版本中得到解决。值得注意的是,该插件的最新版本是6.2.0.1,于2024年4月25日发布。
LiteSpeed Cache有超过500万个活动安装,统计数据显示,除5.7、6.0、6.1和6.2以外的版本在所有16.8%的网站上仍然处于活动状态。
根据Automattic拥有的公司,恶意软件通常会将托管在dns.startservicefounds[.]com和api.startservicefounds[.]com等域上的JavaScript代码注入WordPress文件。
在WordPress网站上创建管理员帐户可能会产生严重的后果,因为它允许威胁行为者完全控制网站并执行任意操作,从注入恶意软件到安装恶意插件。
为了减轻潜在威胁,建议用户应用最新的修复程序,查看所有已安装的插件,并删除任何可疑的文件和文件夹。
WPScan说,在[数据库]数据库中搜索可疑字符串,如’eval(atob(Strings.fromCharCode’,特别是在litespeed.admin_display.messages选项中。”
这一发展发生之际,Sucuri在受感染的WordPress网站上透露了一项名为Mal.Metrica的重定向诈骗活动,该活动使用虚假的验证码验证提示将用户带到欺诈和不良网站,这些网站旨在下载粗略的软件或引导受害者在发送奖励的幌子下提供个人信息。
安全研究员Ben Martin说,虽然这个提示似乎是一个常规的人工验证检查,但它实际上完全是假的——而是试图诱骗用户点击按钮,从而启动重定向到恶意和诈骗网站。
与Balada Injector一样,该活动利用最近披露的WordPress插件的安全漏洞来注入冒充CDN或网络分析服务的外部脚本。到目前为止,2024年,有多达17449个网站与Mal.Metrica妥协。
Martin说,WordPress网站所有者可能希望考虑启用核心文件、插件和主题的自动更新。网络的普通用户也应该警惕点击那些看起来不成就或可疑的链接。
参考链接:https://thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html
暂无评论内容