黑客开采WordPress插件程序漏洞以进行技术支持诈骗

安全企业NinTechNet日前披露知名WordPress插件程序Easy WP SMTP含有重大的零时差攻击漏洞,将允许黑客接管WordPress网站,随后另一安全企业Wordfence则发现,已有不同的黑客针对该漏洞展开攻击,其中一组利用它来执行技术支持诈骗。

Easy WP SMTP可让WordPress用户借由SMTP服务器配置及发送电子邮件,以避免自该站发送的邮件被归类为垃圾邮件,估计全球有超过30万个WordPress网站安装了该插件。

相关漏洞主要涉及Easy WP SMTP 1.3.9版添加的导入/导出功能,它可用来导入或导出插件程序的配置,并更新WordPress数据库的选项,然而,它并未检查用户的权限,于是任何登录的用户或订阅用户都能够触发它,允许未经授权的用户发送AJAX请求以执行任何程序。

NinTechNet的研究人员打造了一个概念性验证程序,借由导入设置上传了一个含有恶意程序的文件,激活用户注册功能并把用户的默认身份设为数据库的管理员。同时NinTechNet也发现黑客已开采该漏洞,但黑客并非只创建一个管理员帐号,而是让所有用户都具备管理员权限,这意味着只要一个单纯的订阅用户就能执行管理功能。

随后Wordfence更发现至少有两组黑客已针对该漏洞展开攻击。其中一组黑客只利用该漏洞来添加管理员帐号,以备不时之需,但另一组黑客则进一步将用户流量跳转至技术支持诈骗网页,企图展开诈骗行动。

Easy WP SMTP是在3月15日得知该漏洞的存在,并于3月17日发布了修补该漏洞的Easy WP SMTP 1.3.9.1版,有鉴于黑客仍在搜索尚未修补相关漏洞的WordPress网站,安全专家们呼吁Easy WP SMTP用户应尽快布署最新版本。