一个名为All in One SEO的非常流行的WordPress SEO优化插件含有一对安全漏洞,当这些漏洞组合成一个漏洞链进行利用时,可能会使网站面临着被接管的风险。有超过300万个网站在使用该插件。

据Sucuri的研究人员称,那些拥有网站账户的攻击者如订阅者、购物账户持有人或会员可以利用这些漏洞,这些漏洞包括一个权限提升漏洞和一个SQL注入漏洞。

研究人员在周三的一篇帖子中说,WordPress网站会默认允许网络上的任何用户创建一个账户,在默认情况下,新账户除了能够写评论外没有任何特权。然而,由于某些漏洞的出现,如刚刚发现的漏洞,则允许这些订阅用户拥有比他们原定计划多得多的特权。

Sucuri表示,这对漏洞已经很成熟了,很容易被利用,所以用户应该升级到已打补丁的版本,即4.1.5.3版。一般认为是Automattic的安全研究员Marc Montpas发现了这些漏洞。

特权提升和SQL注入漏洞

在这两个漏洞中更为严重的是特权提升漏洞,它影响到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞严重程度表上,它的严重程度为9.9(满分10分),因为它极易被犯罪分子进行利用,而且还可以用来在网络服务器上建立一个后门。

Sucuri的研究人员解释说,该漏洞可以简单地将请求中的一个单字符改为大写字母而进行利用。

从本质上讲,该插件可以向各种REST API端点发送命令,并进行权限检查,确保没有人在做越权的事情。然而,REST API路由是大小写敏感的,所以攻击者只需要改变一个字符的大小写就可以绕过认证检查。

Sucuri研究人员说:"当漏洞被利用时,这个漏洞就可以对WordPress文件结构中的某些文件进行覆盖,从而允许任何攻击者来对后门进行访问。从而允许攻击者接管网站,并可以将账户的权限提升为管理员。"

第二个漏洞的严重性CVSS评分为7.7,影响All in One SEO的4.1.3.1和4.1.5.2版本。

具体来说,漏洞出现在一个名为"/wp-json/aioseo/v1/objects "的API端点。Sucuri表示,如果攻击者利用之前的漏洞将他们的权限提升到管理员级别,他们将获得访问该端点的权限,并从那里向后端数据库发送恶意的SQL命令,检索用户凭证、管理信息和其他敏感数据。

研究人员说,为确保安全,All in One SEO的用户应该将软件及时更新到已打过补丁的版本。其他防御性措施还包括:

1、审查系统中的管理员用户并删除任何可疑的用户。

2、更改所有管理员账户的密码,以及在管理员面板上添加额外的加固措施。

插件成为了黑客的攻击目标

研究人员指出,WordPress的插件现在仍然是网络攻击者破坏网站的一个重要的途径。例如,12月早些时候,在针对160多万个WordPress网站的主动攻击中,研究人员发现有数千万次尝试利用四个不同的插件和几个Epsilon框架主题的攻击。

研究人员说:"WordPress插件仍然是所有网络应用的一个主要风险,它们仍然是攻击者的常规攻击目标。通过第三方插件和框架所引入的恶意代码可以极大地扩展网站的攻击面"。

这一警告是在新的漏洞不断出现的情况下发出的。例如,本月早些时候,安装在8万个由WordPress驱动的零售网站上的插件 "Variation Swatches for WooCommerce " 被发现含有一个存储的跨站脚本(XSS)安全漏洞,它可能会允许网络攻击者注入恶意的网络脚本并接管网站。

10月,研究人员发现,一个安装量超过6万的WordPress插件Post Grid存在两个高危漏洞,这使得网站非常容易被攻击者接管。而且,在Post Grid的姐妹插件Team Showcase中也发现了几乎相同的漏洞,该插件有6000个安装量。

同样在10月,在Hashthemes Demo Importer的产品中发现了一个WordPress插件漏洞,它允许拥有订阅者权限的用户删除网站的所有内容。

研究人员认为,网站的所有者需要对第三方插件和框架保持警惕,并保持安全更新,他们应该使用网络应用程序防火墙来保护他们的网站,以及使用可以发现他们网站上存在恶意代码的解决方案。

本文翻译自:https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/如若转载,请注明原文地址。