持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。
在 XSS 攻击中,威胁参与者将恶意 JavaScript 脚本注入易受攻击的网站,这些脚本将在访问者的 Web 浏览器中执行。
影响可能包括未经授权访问敏感信息、会话劫持、通过重定向到恶意网站感染恶意软件或完全破坏目标系统。
发现这些攻击的 WordPress 安全公司 Defiant 表示,该漏洞还允许未经身份验证的攻击者在运行未修补插件版本(最高并包括 2.10.1)的 WordPress 网站上创建流氓管理员帐户。
此次攻击活动中利用的安全漏洞已于 1 月份通过 2.10.2 版的发布进行了修补。
“根据我们的记录,该漏洞自 2023 年 2 月 5 日以来一直受到积极攻击,但这是我们所见过的针对它的最大规模攻击,”威胁分析师 Ram Gall 表示。
“自 2023 年 5 月 23 日以来,我们已经阻止了来自近 14,000 个 IP 地址的近 300 万次针对超过 150 万个站点的攻击,并且攻击仍在继续。”
尽管这种持续的攻击活动具有大规模性质,但 Gall 表示,威胁参与者使用了一个配置错误的漏洞利用,即使针对运行易受攻击的插件版本的 WordPress 站点,该漏洞也可能不会部署有效载荷。
即便如此,建议使用 Beautiful Cookie Consent Banner 插件的网站管理员或所有者将其更新到最新版本,因为即使攻击失败也可能会破坏存储在 nsc_bar_bannersettings_json 选项中的插件配置。
该插件的补丁版本也已更新,以在网站成为这些攻击的目标时进行自我修复。
虽然当前的攻击浪潮可能无法向网站注入恶意负载,但此活动背后的威胁参与者可以随时解决此问题,并有可能感染任何仍然暴露的网站。
上周,威胁者还开始在互联网上探测运行易受攻击版本的 Essential Addons for Elementor 和 WordPress Advanced Custom Fields 插件的 WordPress 网站。
这些活动在概念验证 (PoC) 漏洞发布后开始,允许未经身份验证的攻击者分别在重置管理员密码和获得特权访问后劫持网站。
