针对WP WordPress插件的Amp的主动XSS攻击

针对WP WordPress插件的Amp的主动XSS攻击


最近在流行的AMP for WP插件中发现了漏洞,允许任何注册用户在WordPress站点上执行管理操作。现在已经发现,正在进行主动XSS攻击,针对这些相同的漏洞安装后门并在易受攻击的WordPress站点上创建流氓管理员帐户。
AMP for WP插件中的漏洞是由于在较旧版本的插件中执行管理操作时缺少nonce授权检查。

由于许多用户可能不知道安全漏洞或者没有更新他们的软件,这仍然是攻击的良好载体。
根据WordFence威胁分析师Mikey Veenstra的研究,有一个正在进行的活动利用这些漏洞通过向易受攻击的WordPress网站注入恶意脚本来对网站的管理员执行XSS攻击。
“从各方看来,这些攻击似乎都是自动化的,”Veenstra告诉BleepingComputer。“鉴于存在一个指示性破坏的用户代理字符串'Mozilla / 5.0(Windows NT 6.1; Win64; x64; rv',对于此广告系列中所有已识别的攻击,以及有效负载的一致格式,尽管存在大量攻击IP ,这些攻击不太可能是手动执行的。“
此恶意脚本托管在URL https:// sslapis [。] com / assets / si / stat.js上,当它在管理员的浏览器中执行时,将在该站点上创建一个新的流氓管理员用户。
“在受影响的管理员正在查看的页面上创建隐藏的iframe元素之后,脚本会模拟填写新用户表单的过程,”WordFence的  研究表明。“作为此过程的一部分,它选择管理员角色并将click() 事件发送  到提交按钮以创建具有管理员访问权限的新用户。”
添加流氓管理员帐户后,将使用用户名supportuuser  和电子邮件  supportuser72019@gmail.com进行配置,如下面的脚本片段所示 。
                                                                   

                                                                      创建新用户的脚本片段
添加新用户后,脚本将枚举所有已安装的插件,并尝试将PHP后门注入每个插件。

               

                                                                       编辑每个插件并注入后门
添加的后门使用base64编码进行模糊处理,但解码为以下PHP代码,该代码利用extract()函数将用户输入的数据分配给环境变量,然后由die()函数执行
                                             

                                                                         注入后门


这个后门的工作原理是读取附加到后端插件的URL的变量,并使用extract()函数将它们指定为环境变量。然后,后门将执行die()函数,该函数将调用作为变量cdate插入的任何命令,并   为该函数指定任何分配给  adate的参数
由于AMP for WP插件的流行,漏洞的严重性以及持续的攻击,强烈建议此插件的所有用户检查并删除流氓supportuuser 管理员帐户或任何其他未知的管理员帐户。然后,他们应该更新到AMP for WP插件的0.9.97.20或更高版本。



脚本还启用了WooCommerce插件

奇怪的是,如果你安装了WooCommerce插件,XSS脚本还包含一个试图激活它的功能。该脚本通过连接到WordPress plugins.php页面来完成此操作,该页面包含用于激活它们的插件和链接列表。然后它搜索WooCommerce插件并在检测到时激活它。                    

                                                                 
[p][p]激活WooCommerce插件[/p][/p]
WooCommerce是另一个流行的WordPress插件,最近披露了漏洞  ,可以让用户获得管理访问权限。当BleepingComputer询问WordFence为什么他们认为脚本启用此插件时,Veenstra推测它可以用于从C2服务器下载的后续有效负载。从C2服务器提供的脚本还定义了'EnableReplace'功能,它可以对某些WooCommerce页面进行内联更改(如果可用),”Veenstra告诉BleepingComputer。“目前还不清楚为什么使用JavaScript来启动攻击的这一阶段,因为管理员帐户和PHP后门将允许攻击者对他们希望的WooCommerce进行任何直接更改。我们的假设是C2服务器最终会部署额外的通过这些内联更改,XSS有效负载变得更加容易。
转载请注明本文链接: http://www.mayidui.net/t2447.html
话题: xss wp
游客
登录后才可以回帖,登录 或者 注册