购物网站被黑!WordPress漏洞是主因

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/12 09:42:00 206次阅读 国际
文章来源:http://www.mottoin.com/detail/3860.html

       基于WordPress的购物网站受到黑客组织的攻击,该组织借助跨站点脚本(XSS),滥用购物车插件中的漏洞来植入后门并接管那些易受攻击的购物网站。

AuGTweOcFlZYeOX3UPH2COJrkKYqmmXoLOJI7kAs.png

插件漏洞原理

       根据Wordfence(WordPress网站防火墙插件)开发公司Defiant的说法,攻击目前还在进行中。从官方WordPress插件存储库中可以发现,黑客组织的攻击目标是使用“Abandoned Cart Lite for WooCommerce”插件的WordPress网站,这是一个安装在2万多个WordPress网站上的插件。

eROWldMLpKFTMra6wegPXDiF49XNQXG8w8TCRUb0.png

       这种攻击方式实际上是比较罕见的,谁能想到一个普通且通常无害的跨站点脚本(XSS)漏洞实际上可能导致严重的攻击,而在此前,XSS漏洞很少被攻击者利用。攻击者结合了插件和漏洞的操作模式,展开了“完美”的攻击。

       该插件顾名思义,允许网站管理员查看废弃购物车——用户在突然离开网站之前添加到购物车中的产品。网站管理员使用此插件来统计潜在的热门商品列表。这些废弃购物车列表只能在WordPress网站后台访问,通常只能由具有高权限帐户的管理员或其他用户访问。

黑客如何利用这个漏洞

       根据Defiant公司安全研究员Mikey Veenstra 的报告,黑客正在对WordPress上基于WooCommerce的购物商店进行自动化操作,以生成包含混淆名称产品的购物车。

       他们在购物车的某个字段中添加漏洞利用代码,然后离开该网站,这一操作可确保漏洞利用代码存储在商店的数据库中。当管理员访问商店的后端以查看被放弃的购物车列表时,只要加载了特定的后端页面,就会立刻执行黑客的漏洞利用代码。

       Veenstra表示,在过去的几周里,Wordfence已经检测到了几次使用这种技术的攻击尝试。该公司发现的攻击使用了从bit.ly链接(解析为 hXXps://cdn-bigcommerce[.]com/visionstat.js)加载JavaScript文件的漏洞利用代码,此代码试图在运行易受攻击插件的网站上植入两个不同的后门。

       第一个后门是黑客在网站上创建一个新的管理员帐户。这个新的管理员账户名为woouser,以woouser401a@mailinator.com电子邮件地址注册,密码是K1YPRka7b0av1B。

SZAXCNXHrkk6sNxbf0VSOQEI1dkqGBgTCOsDoU8I.png

       第二个后门更加狡猾,是一种很少见的策略。恶意代码列出了网站的所有插件,并查找网站管理员禁用的第一个插件。黑客不会重新启用它,而是用恶意脚本替换其主文件的内容,该脚本可作为未来访问的后门。该插件将保持禁用状态,但由于其文件仍在磁盘上且可通过Web请求访问,因此黑客可以向该第二个后门发送恶意指令,以防网站管理员删除第一个后门创建的woouse帐户。

       用于此攻击活动的bit.ly链接已被访问超过5200次,这表明受感染网站的数量可能达到数千个之多。即便如此,5200这个数字也并不完全准确,Veenstra解释道:“Bit.ly统计数据可能不够精确,因为如果XSS有效载荷停留在废弃购物车中且管理员经常访问,那么一个受感染的网站可以多次获取该链接。”

       除此之外,还有很多已成功部署的XSS漏洞正在等待管理员首次打开该页面,这表明许多网站可能已经遭到攻击,至少还没有部署好后门——bit.ly链接尚未加载。令人费解的是,Veenstra和Defiant的其他研究人员目前还无法确定黑客入侵这些WordPress购物网站的攻击目的。但他们推测,黑客可能会利用这些网站分发SEO垃圾邮件,或是部署卡片信息收集器。

       最后,研究人员建议使用该插件的WordPress购物网站管理员应更新其网站并查看管理员帐户列表中是否存在可疑条目。除了woouser账户,黑客也可能使用其他名称。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室