攻击者利用Elementor Pro和Ultimate Addons中的Elementor WordPress插件中的两个安全问题,完全破坏了100万个站点。
黑客正在积极利用Elementor Pro和Ultimate Addons中的Elementor WordPress插件中的两个安全漏洞,以完全破坏未修补的WordPress安装。
Wordfence的安全专家观察到自2020年5月6日开始针对这两个问题的黑客活动,当时攻击开始是零日攻击。
“ 2020年5月6日,我们的威胁情报团队收到了有关两个相关插件Elementor Pro 和 Ultimateorons for Elementor的漏洞被主动利用的报告 。我们已经审查了受感染站点的日志文件,以确认此活动。” 读取WordFence发布的分析。
“有两个插件受此攻击活动的影响。第一个是Elementor生产的Elementor Pro。该插件具有零时差漏洞,如果用户进行了开放注册,就可以利用该漏洞。” “第二个受影响的插件是由Brainstorm Force制造的Ultimate Element for Elementor插件。”
Elementor Pro 是一个付费插件,实际上已安装在超过一百万个网站上,它使用户可以轻松创建WordPress网站。
Elementor Pro受远程代码执行漏洞的影响,该漏洞可能被拥有注册用户访问权限的攻击者利用,以在目标网站上载任意文件并远程执行代码。
攻击者利用此漏洞安装了后门或Webshell,以维护对受感染站点的访问,获得完全的管理员访问权限以完全破坏它,甚至删除整个站点。
如果攻击者尚未注册为用户,则他们可以利用另一个漏洞,该漏洞会影响用于Elementor WordPress 的 Ultimate Addons插件,从而允许他们注册为订户级用户。
WordFence专家指出,Elementor WordPress插件的Ultimate Addons已安装在110,000多个网站上,WordFence专家指出,即使禁用了用户注册,该问题也可以在运行该插件的任何网站上利用。
“攻击者能够在具有开放用户注册的网站上直接针对Elementor Pro中的零日漏洞。” 继续Wordfence。
“在站点未启用用户注册的情况下,攻击者将利用未修补站点上的Ultimate for Addor for Elementor漏洞注册为订户。然后他们继续使用新注册的帐户来利用Elementor Pro的零日漏洞并实现远程代码执行。”
WordPress网站的管理员可以通过将Elementor Pro更新到2.9.4版以及将Ultimate for Mediaor插件更新到1.24.2版或更高版本来保护其安装。
Wordfence提供了以下建议来保护WordPress网站:
• 检查您站点上是否有未知的订户级用户。 这可能表明您的网站已被破坏,成为此有效广告系列的一部分。如果是这样,请删除这些帐户。
• 检查名为“ wp-xmlrpc.php”的文件。 这些可被视为损害的迹象,因此请检查您的站点以获取该文件的证据。
• 删除在/ wp-content / uploads / elementor / custom-icons /目录中找到的所有未知文件或文件夹。 创建恶意订户级别帐户后位于此处的文件清楚地表明存在泄露。