Divi和Extra主题中的严重漏洞以及Divi Builder插件。总共,此漏洞影响了700,000多个站点。在“官方Facebook聊天插件”中发现的漏洞为社交工程攻击创建了一个载体,因为它允许攻击者通过聊天冒充网站所有者。Newsletter插件中发现的对象注入漏洞影响了300,000多个站点。我们还将查看与最近的Twitter骇客有关的针对3个人的指控。在网上活动疲倦的情况下,美国WordCamp组织团队今年做出了艰难的决定,即取消WCUS。
如果您想跳来跳去,这里有时间戳和链接,下面是成绩单。
0:13超过70万网站使用的漏洞暴露了航空维修,额外的,和航空维修构建
2:10的官方Facebook聊天插件创建载体的社会工程攻击
4:00 通讯插件漏洞影响超过300,000网站
5:33三名嫌疑人被控在角色Twitter黑客,比特币骗局
6:44 由于大流行压力和在线事件疲劳,美国2020 WordCamp取消
8:03 WordPress 5.5即将面世:功能和更改主题作者应了解
在您喜欢的应用程序或平台(包括iTunes,Google Podcast,Spotify,YouTube,SoundCloud和Overcast)上找到我们。
单击此处下载此播客的MP3版本。订阅我们的RSS feed。
第81章成绩单
斯科特·米勒:
大家好。是Wordfence的Scott。这是关于WordPress,安全性和创新的每周播客,就像黑客一样。让我们看一下新闻。
首先是严重的漏洞,该漏洞使用Divi和Extra主题以及Divi Builder插件暴露了700,000个站点。7月23日,我们的威胁情报小组在两个主题和Divi Builder WordPress插件中发现了严重漏洞。我们首先验证当时的当前防火墙规则已提供针对漏洞利用的保护。在主题和Divi Builder插件之间,超过700,000个组合站点暴露出一个漏洞,该漏洞使经过身份验证的具有贡献者或更高级别功能的攻击者可以上传任意文件,包括PHP文件。
现在,不幸的是,该漏洞还可能使远程攻击者能够在易受攻击的站点服务器上实现远程代码执行,这也可能导致完整的站点接管。该漏洞是由于缺少服务器端验证检查引起的。问题代码的核心可以在构建器的可移植性PHP文件的import函数中找到。然后,我们的团队于7月23日接触了有关该漏洞的“优雅主题”,并于8月3日在4.5.3版中针对所有产品发布了一个补丁程序,该漏洞已修复。
现在,无论使用这两个主题还是Divi Builder插件的任何人,我们建议尽快将其更新为最新版本。新发布的补丁可防止上传除JSON文件以外的所有文件,并且还可以确保一旦不再使用这些文件,即可在该过程的任何阶段将其删除。如果您现在正在使用免费或高级版Wordfence,则使用内置的恶意文件上传保护功能,可以防止像这样的任意代码执行,因此您不必担心,但是我们仍然建议您更新插件你尽快做。
我们今天的第二个故事涉及官方Facebook Chat插件中的漏洞。我们的威胁情报团队在6月底发现了此漏洞。该插件已安装在80,000多个站点上,存在一个缺陷,该缺陷使低级经过身份验证的攻击者可以将自己的Facebook [信使帐户]连接到站点的聊天,并与受影响站点上的站点访问者进行聊天。
因此,为了让您了解此插件的功能,Facebook Chat插件添加了一个聊天弹出功能,该功能使站点所有者可以连接其Facebook [帐户],从而与站点访问者或潜在客户进行交互。一旦被利用,攻击者便可以将该聊天功能路由到他们自己的Facebook页面。然后,AJAX操作利用了此功能,该操作没有兼容性检查来验证请求是否来自经过身份验证的管理员。在任何wp-admin仪表板的源代码中都可以轻松发现用于跨站请求伪造(CSRF)保护的随机数。
因此,这是社会工程学的一个示例,尝试通过社会互动来利用人类的弱点。我们天生就想信任他人,如果我们不熟悉如何确保自己在互联网上的安全,那么我们所有人都可能容易受到此类骗局的攻击。Wordfence于6月26日发现了此漏洞,然后不久,针对高级订户测试并发布了防火墙规则。大约一个月后的6月28日,针对该插件的版本1.6发布了足够的补丁程序。我们研究了在上周的办公时间流中如何利用这种漏洞,因此您可以转到Wordfence YouTube频道并进行研究。此外,我们还会介绍其他一些最佳安全做法,以确保您的安全。
我们的下一个故事是一个通过Newsletter插件影响超过300,000个站点的漏洞。Newsletter插件是用于电子邮件活动的全功能可视化编辑器,已安装了300,000多个安装,并且最近还收到了一个活动漏洞的补丁程序。在我们自己研究修补后的漏洞期间,我们发现了两个其他且更严重的漏洞,包括跨站点脚本和PHP Object Injection漏洞。
有了这些漏洞,攻击者就有可能使恶意JavaScript以几种不同的方式显示。基本上,这是通过发送包含JavaScript的发布请求来完成的,并导致JavaScript在已登录用户的浏览器中呈现。
现在,在发现这些漏洞后不久,我们就向高级订户发布了新的防火墙规则,以防止XSS跨站点脚本和PHP对象注入漏洞。我们发布的这些新防火墙规则首先于7月15日发送给我们的高级订户,并将于8月14日提供给我们的免费用户。在大多数情况下,我们在Wordfence中内置的PHP对象注入防火墙规则可以防止这些漏洞之一,但是,出于谨慎起见,我们还专门针对这种情况发布了更新的防火墙规则。我们建议您更新到最新版本的Newsletter插件,在播客时为6.8.3版。
因此,最近的Twitter黑客事件已有更新,有关当局对这起重大攻击指控了三人。第一次逮捕是来自佛罗里达州坦帕市的17岁的格雷厄姆·克拉克(Graham Clark),据信他策划了整个袭击。联邦调查局,国税局和特勤局协调一致,指控克拉克成年。
为了让您更快地了解原始故事,黑客在2020年7月15日的一次电话鱼叉式网络钓鱼攻击中危害了一名Twitter员工,当时他们很快就可以访问Twitter帐户和内部支持工具来运行比特币骗局。现在,最初,他们获得了价值约120,000美元的比特币。值得注意的是,在攻击发生时,一千名Twitter员工和承包商可以访问公司的内部支持工具,这些工具用于实施此攻击。另外两名被起诉的是来自英国的19岁的梅森·谢泼德(Mason Sheppard)和来自佛罗里达州奥兰多的22岁的Nima Fazeli。Sheppard和Fazeli在加利福尼亚的旧金山被起诉。
上周,我们谈论了WordPress,宣布剩余的2020 WordCamps将是虚拟的。此后,WordCamp US组织者已正式取消了本年度的WordCamp US,该活动原定于10月27日至29日举行。该活动已于4月转换为虚拟活动,但鉴于最近的在线WordCamps一直在挣扎,组织者认为完全取消是正确的选择。官方声明中写道:“我们决心取消今年的WordCamp US活动。鉴于大流行,参与者,组织者和志愿者的在线活动持续疲倦,以及对将WordCamp体验转换为传统WordCamp体验的渴望,我们做出了艰难的决定,决定停止今年的计划并取消WordCamp US 2020。
随着WordCamp US的取消,人们对Matt Mattlenweg的Word状态地址提出了疑问。组织者表示,这仍然有望实现,只是可能采用其他格式。围绕“言语状态”将是其自身的事件,有一些想法被反弹了。另外,我们很想听听您对虚拟事件的看法。因此,请继续在展示记录中给我们留下评论。
我们今天的最后一个故事是即将发布的WordPress版本5.5。该版本计划在即将到来的星期二发布,并且该更新预计将引入新功能和相当多的更改。可以说,开发人员应注意的最大更改是自动更新并将HTML更改直接定向到自定义徽标输出。我们将在“ 办公时间”插曲中介绍有关此更新的更多详细信息,我们每周二在东部时间中午在YouTube频道上发布此更新。
非常感谢您的收听,希望您喜欢本周的这一集。下周再回来查看更多安全新闻。确保在社交媒体上关注我们。您可以在Twitter,Facebook,Instagram和Wordfence上找到Wordfence ,然后在YouTube上找到我们,我们在太平洋时间星期二中午9:00 AM提供每周的办公时间。一如既往。如果您有兴趣深入研究故事,请在展示笔记中找到链接。