黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
2021年9月的前半个月,黑客在数十个托管在开发者网站上的WordPress 主题和插件中插入秘密后门,以感染更多网站,发动供应链攻击。
该后门可导致攻击者完全控制使用了 AccessPress Themes 公司旗下40个主题和53个插件的网站。AccessPress Themes 是一家尼泊尔公司,声称活跃网站安装数量至少为36万次。
WordPress 插件套件开发公司 JetPack 的研究人员指出,“受感染的扩展中包含一个 web shell 的释放器,可导致攻击者完全访问受感染站点。如果这些扩展是从 WordPress[.]org 目录中直接下载或安装的,则没有问题。”
该漏洞的编号为 CVE-2021-24867。Sucuri公司分析指出,某些受感染网站早在三年前就被利用,说明攻击者将这些网站的访问权限出售给垃圾邮件活动攻击者。
本月初,网络安全公司 eSentire 分析称,受陷 WordPress 网站成为恶意软件交付的温床,使对此毫不知情的用户通过名为”GootLoader” 的植入在搜索引擎如Google 搜索婚后协议或知识财产协议。
建议直接从 AccessPress Themes 网站安装这些插件的网站所有人立即更新至安全版本,或使用 WordPress[.]org 的最新版本取代旧版本。另外,需要部署 WordPress 清洁版本恢复后门安装过程中所作的修改。
XSS 漏洞(CVE-2022-0218)
前不久,WordPress 所属公司 Wordfence 披露了已修复的XSS漏洞详情。该漏洞影响插件 “WordPress 邮件模板设计器 – WP HTML Mail”,它已在2万多个网站上安装。
该漏洞的编号为CVE-2022-0218,CVSS v3.1 评分为8.3。研究人员指出,“该权限可使未认证攻击者注入恶意 JavaScript,当网站管理员访问模板编辑器时即执行。该漏洞也可使攻击者修改邮件模板以包含任意数据,可被用于执行钓鱼攻击。“
Risk Based Security 公司本月发布数据显示,截至2021年年底,收到2240个第三方 WordPress 插件漏洞,比2021年增长了142%。截至目前,共发现了10359个 WordPress 插件漏洞。
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
原文链接
https://thehackernews.com/2022/01/hackers-planted-secret-backdoor-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击相关推荐
- 朝鲜黑客伪装成三星招聘人员诱骗安全研究员,或发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周,谷歌发布<威胁局势>报告指出,朝鲜国家黑客伪装成三星招聘人员,向出售反恶意软件软件的韩国安全企业的员工发送虚假工作邀约. 谷歌 ...
- 黑客攻陷Okta发动供应链攻击,影响130多家组织机构
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 利用ClaudiaIDE插件在VS中插入图片
利用ClaudiaIDE插件在VS中插入图片 效果图 下载 设置插件 效果图 下载 github链接找到相应的版本如下图所示 我下了个2019的链接: 百度网盘 提取码:5xi8 设置插件 打开VS中 ...
- wordpress html音乐,给你的WordPress博客文章中插入背景音乐的方法(纯代码,非插件)...
前一段时间,我分享了在WordPress文章日志中插入音频MP3(纯代码,免插件)这篇文件 ,曾介绍过如何在wordpress文章中加入MP3音频,今天要说的和这个基本相同.只不过上个文章中的MP3是 ...
- es中的xpack插件下载_ppt中插入flash动画工具-PowerPoint中插入Flash插件下载电脑版...
PowerPoint中插入Flash插件是一款能帮助快速在PowerPoint中能插 Flash动画的插件工具,我们知道,有时在PowerPoint课件中为了更形象地说明问题,需要插入Flash动画. ...
- wordpress主题免费- wordpress插件以及主题下载
wordpress主题免费下载,很多人对wordpress建站都有点摸不清方向,今天我给大家分享一款一键批量wordpress主题建站.只需要输入域名选择好对应的主题一个网站就能成功建立.随着互联网的 ...
- 黑客在开源网站植入秘密后门、恶意软件通过非常规IP逃避检测|1月25日全球网络安全热点
安全资讯报告 专家发现乌克兰的NotPetya和WhisperGate攻击的战略相似之处 对本月早些时候针对数十家乌克兰机构的Wiper恶意软件的最新分析显示,该恶意软件与2017年针对该国基础设施和 ...
- 我可以在不提供FTP访问的情况下安装/更新WordPress插件吗?
我在实时服务器上使用WordPress ,该服务器仅通过SSH密钥使用SFTP . 我想安装和升级插件,但是看来您需要输入FTP登录才能安装插件. 有没有一种方法可以通过手动上传文件而不是让WordP ...
- wordpress插件_最好的WordPress购物车插件
wordpress插件 WordPress is an extremely versatile platform, with a diverse range of capabilities. One ...
最新文章
- 两个表的更新、表的复制
- 任务队列,消息队列和rpc的区别是什么?
- python turtle循环图案-Python绘图Turtle库详解
- 《Java程序员,上班那点事儿》书名的由来
- XT910开通了GPRS却上不了网的原因--“数据漫游”功能关闭导致的
- 华为在哪发布的鸿蒙,华为鸿蒙2.0可以替代安卓吗,华为鸿蒙2.0优势在哪
- 解锁三星bl锁有几种方法_解锁陶瓷砂磨机常见的几种机械密封损坏原因及处理方法发表...
- 电脑端腾讯视频如何设置离线下载完成后自动关机
- uuid java 重复_Java中使用UUID工具类生成唯一标志防止重复
- 分析方法的基础 — 1. 拆分能力,分析师的第一技能
- WebService学习总结(3)——使用java JDK开发WebService
- 小朋友的经典造句,现在做老师的太不容易了
- 【数字信号】基于matlab GUI虚拟信号发生器(各种波形)【含Matlab源码 271期】
- Java——哈希值是什么?
- 基于 mini2440 电阻式触摸屏(二):S3C2440 电阻式触摸屏接口、内部ADC结构
- 常见windows进程说明
- guanyongyu2
- 分享下自己的经历!2020春招四五月份大厂面经 一:(腾讯、网易、斗鱼、富途、美团、快手)
- Springboot中自定义文件映射
- 文章摘要生成(Summarizing Text with Amazon Reviews)