黑客在几十个WordPress插件和主题中植入了秘密后门

黑客在几十个WordPress插件和主题中植入了秘密后门

在软件供应链攻击的另一个例子中，2021年9月上半月，开发者网站上托管的数十个WordPress主题和插件被恶意代码后门，目标是感染更多的网站。

恶意代码后门

后门让攻击者可以完全控制使用40个主题和53个插件的网站，这些插件属于总部位于尼泊尔的AccessPress Themes公司，该公司拥有不少于36万个活跃的网站安装。

WordPress插件套件开发商JetPack的安全研究人员在本周发布的一份报告中表示：“受感染的扩展程序包含一个用于Web shell的释放器，使攻击者可以完全访问受感染的站点。”“如果直接从WordPress[.]org目录下载或安装相同的扩展程序，则可以。”

CVE-2021-24867漏洞

该漏洞已被分配标识符CVE-2021-24867。网站安全平台Sucuri在另一项分析中表示，发现利用此后门的一些受感染网站具有可追溯到近三年的垃圾邮件有效负载，这意味着该操作背后的参与者正在向其他垃圾邮件活动的运营商出售网站访问权限。

WordPress网站如何被用作传播恶意软件的温

本月初，网络安全公司eSentire披露了属于合法企业的受损WordPress网站如何被用作传播恶意软件的温床，为毫无戒心的用户在谷歌等搜索引擎上使用名为GootLoader的植入物搜索婚后或知识产权协议。

此外，WordPress安全公司WordPress fence披露了一个跨站点脚本(XSS)漏洞的细节，该漏洞影响了一个名为“WordPress电子邮件模板设计器——超文本标记语言邮件“它安装在2万多个网站上。

该漏洞被追踪为CVE-2022-0218，在CVSS漏洞评分系统中被评为8.3级，并作为2022年1月13日发布的更新(3.1版)的一部分得到了解决。

Chloe Chamberland说：“这个漏洞使得未经身份验证的攻击者可以注入恶意JavaScript，只要站点管理员访问模板编辑器，就会执行该JavaScript。”“此漏洞还允许他们修改电子邮件模板以包含任意数据，这些数据可用于对从受感染站点接收电子邮件的任何人执行网络钓鱼攻击。”

根据Risk Based Security本月发布的统计数据，到2021年底，第三方WordPress插件中发现并报告了多达2240个安全漏洞，比2020年增加了142%，当时披露了近1000个漏洞。迄今为止，共发现了10,359个WordPress插件漏洞。