在本周的“像黑客一样思考”播客中,我们介绍了一个针对WordPress网站和众多插件漏洞的主动攻击活动。这项主动攻击活动一直在进行,并且已经超过了其他所有针对WordPress漏洞的攻击。我们的威胁情报团队已经跟踪该攻击者已有几个月了,我们发现这些攻击正在加剧。我们还将研究在Google的Site Kit插件和SiteOrigin的Page Builder中发现的漏洞,以及为什么对插件开发者来说,在其网站上易于查找的位置发布《负责任的披露政策》如此重要。
我们还将研究如何在运行Elementor Pro和Ultimateorton for Elementor插件的网站上进行为期零天的主动攻击中使用这两个漏洞的组合。
我们还查看了Wordfence工程团队创建的新的全球站点速度分析工具Fast或Slow的一些新更新,以及即兴站点在2020年5月8日升至Hacker News排名第一时的即兴硬启动。
对于WordPress安全和Wordfence团队而言,可能是一个相当繁忙的月份。享受播客,并保持安全。
如果您想跳来跳去,这里是时间戳和链接,下面是成绩单。
0:24 快或慢在Hacker News上排名第一,我们的团队启动了重新架构,并将分析扩展到18个全球位置。
5:37在Google Site Kit中发现的漏洞为攻击者授予了 Google Search Console访问权限。
7:50 28,000 GoDaddy托管帐户遭到入侵。
9:32 对Elementor Pro的攻击和Elementor的Ultimate Addons的合并攻击使100万个站点面临风险。
13:34 SiteOrigin在Page Builder中修补的漏洞影响了超过一百万个网站。
在您喜欢的应用程序或平台上找到我们,包括iTunes,Google Podcast,Spotify,YouTube,SoundCloud和Overcast。
单击此处下载此播客的MP3版本。订阅我们的RSS feed。
第76集成绩单
您好我的WordPress朋友们,欢迎收看《像黑客一样思考》第76集。这是有关WordPress,安全性和创新的播客。我是你的主人,凯西·赞特。本周我们有许多有关WordPress安全的故事。因此,让我们开始吧。
首先,简要介绍一下快或慢。这是Wordfence的工程团队开发的应用程序。5月8日,星期五,我们开始在fastorslow.com上看到该网站的访问量有所增加。经过进一步调查,我们发现Hacker News的头版报道了Fast或Slow,这是令人惊讶的重大新闻。我们只是对该应用程序进行了软启动,仅将邮件发送给一些选定的收件人,并且只是看着该应用程序的运行情况,因为它相当复杂,因此带来了大量流量。
快速或慢速是一种工具,可以衡量您在全球各地的站点性能。显然,您在一个位置,当您查看自己的站点时,它对您的响应可能不同于对世界另一端的响应。因此,我们想创建一个工具,使人们可以衡量各种地理位置的绩效。
因此,我们邮寄给其中的一位用户看到了价值并分享给了Hacker News,我们有即兴的即刻发布的经验。自那时以来,该网站一直在增长,吸引了来自世界各地的更多访问量。团队实际上正在重新组织部分内容以进行增长,为增长做准备。现在,该站点已为将来的增长做好了准备。我们将很快收到一些消息。
我们为自己创建了Fast或Slow,看到它甚至在WordPress之外,都受到Web开发社区的好评,真是太好了,令人兴奋。因此,感谢所有使用“快速”或“慢速”功能的人,并关注即将推出的改进和功能。如果您还没有看过,为什么不呢?前往fastorslow.com,查看您的网站在世界各地的表现。
您可能已经注意到我上周没有播客。其中一部分是观看快速或慢速的快速使用。但是在5月的第一周,WordPress世界中也发生了大量的安全研究和新闻。现在我们正处于五月的第二周,它当然不希望成为本月被忽视的年轻同胞。因此,我们在WordPress安全方面又有了一周的新闻。因此,让我们开始吧。
我们的第一个WordPress安全故事是一个持续的故事,该故事始于5月4日星期一,当时我们作为全球远程团队在虚拟办公室中加载了这些东西。我们的质量保证和威胁研究团队的Ram Gall注意到,攻击运行Wordfence防火墙的站点的攻击数量急剧增加。其中大多数是跨站点脚本攻击,这些攻击的目标是具有较旧漏洞的较小插件。但是有消息说,袭击的数量是巨大的。
我们发表了一篇文章,详细介绍了我们所看到的内容,因为我们可以肯定的是,我们将开始看到来自该威胁因素的其他攻击。大概一周后,我们看到了另一个上升趋势,即这个单一的威胁参与者,现在可能是一群人,但是这个单一的攻击活动发起的针对漏洞的攻击比发生的任何其他漏洞爆发的攻击活动都要多。面向全球的WordPress。
因此,Ram Gall,Chloe Chamberland和Mark Maunder看看发生了什么,我们不仅发现这些威胁因素已经修复了他们代码中的错误,而且发现该威胁因素已经存在了一段时间。我们从今年早些时候开始的一项活动中开始看到类似的模式和标记,该活动使用Bulletproof Hosting对全球站点发起攻击。
我们从中得到什么?WordPress显然正在运行着大约三分之一的互联网,威胁参与者总是会一直瞄准WordPress。一旦您了解了系统,并且知道了可能的漏洞和可能的利用,您很可能会继续将其作为目标。因此,我们看到的是与该特定威胁行为者有关的攻击,这些攻击的规模和针对的漏洞都已经日趋成熟。Wordfence Premium的优点在于,此实时黑名单是Wordfence Premium的一部分,可跟踪此攻击者。因此,当它们从IP地址移动到IP地址时,黑名单会跟随它们,以确保其攻击甚至看不到您的WordPress网站。因此,如果您确实有他们要针对的漏洞,他们甚至将无法看到它,因为这些IP地址将被此滚动黑名单阻止。
对我来说,尤其是对于至关重要的网站而言,这对于您的WordPress网站来说是必不可少的。令人遗憾的是,其他内容管理系统没有那么强大的功能。但同样,Wordfence在WordPress世界中非常具体,可以保护WordPress网站,而我们的威胁情报全都与WordPress有关。因此,将其视为坚持使用WordPress的另一个原因。
我们的下一个故事是关于Google Site Kit插件中的漏洞,该插件已安装在300,000多个WordPress网站上。Chloe Chamberland发现了此漏洞。它使攻击者可以在Google搜索控制台中将自己添加为该网站的所有者。所有者访问权限将使他们能够修改站点地图,从Google搜索引擎结果页中删除页面,甚至有助于使用您的站点的黑帽SEO广告系列。强烈建议您使用此插件,以更新到该插件的最新版本,即Google的Site Kit版本1.8.0。对于WordPress网站所有者来说,这是一个非常强大的工具。
去年秋天,我在萨克拉曼多(WordCamp Sacramento)参加了WordCamp会议,在发布之前我能看到它的证明。网络设计公司10Up的杰克·高德曼(Jake Goldman)向一群拥挤的客厅里介绍了Google Site Kit。因此,我相信这个演讲很快就会在WordPress.TV上弥补。您可能想检查一下。如果您使用Google的工具来管理您在搜索引擎结果中的排名,那么快速而轻松地访问Google中的数据以帮助您对网站做出正确的决定确实很有帮助。因此,我认为这将成为全球网站所有者的绝佳工具。再次提醒您,仅因为插件具有漏洞并不意味着不应使用该插件。这只是意味着它是一个错误,需要修复。Chloe和Ram以及我们的威胁情报团队继续发现这些漏洞,并与开发人员合作修补这些重要的插件,这是非常高兴的。我们当中的高级客户也对此表示支持。支持性的Wordfence可以帮助我们进行这项研究,并尽快将其发布给社区中的每个人,包括通过此播客。教育是安全的重要组成部分,因为当您拥有这些信息时,它就可以帮助您对要获取的数据做出正确的决策,而这正是安全的基础。
通用技术媒体广泛报道了我们的下一个故事。28,000个GoDaddy帐户被盗。这仅占该公司1900万客户的一小部分。因此,根据GoDaddy发布的披露,他们于4月17日发现并开始调查可疑活动,该活动可追溯至2019年10月。他们一发现,便开始了补救措施。他们没有迹象表明该威胁行为者正在使用客户凭据,也没有数据表明他们已经修改了任何托管帐户。他们只是更改了这些密码,以防万一。这仅影响SSH登录。SSH代表安全外壳,基本上,它使您可以通过命令行访问您所登录帐户的服务器。如果您拥有所谓的sudo特权,它授予您访问整个服务器的权限,以便充当路由管理员。在GoDaddy帐户上,这可能不是问题。只是为了让您了解一些有关SSH及其重要性的知识。
因此,我们的建议是,如果您使用GoDaddy作为托管服务提供商,并且没有使用SSH登录该命令行,则可以将其关闭。或者,您可以在使用时将其打开,然后在不使用时将其关闭以确保安全。同样,有28,000个客户听起来很多,但对于GoDaddy广泛的用户群来说,这实际上只是笔钱。
对于我们的下一个故事,5月6日发生了一场针对基于Elementor的WordPress网站的积极利用活动。现在,此主动攻击的目标是两个不同漏洞的特定组合。首先是流行的Elementor Pro插件中的漏洞,我们估计该漏洞已安装在超过100万个WordPress网站上。现在,仅作区分,这并不影响安装在多达500万个网站上的Elementor插件,现在WordPress存储库中可用。此漏洞仅影响此插件的Pro版本。它使拥有帐户的任何人,甚至是订户级别的帐户,都可以将文件上传到站点。该文件可以是图像,也可以是PHP后门,从而使某人可以接管整个站点。
这就是我们所说的经过身份验证的漏洞,这意味着某人必须拥有一个帐户才能利用它。听起来好像没什么大不了的,对吧?在许多情况下,您可以关闭订阅服务器并保护您的网站,但对于使用WordPress作为具有客户帐户的电子商务平台的网站,具有会员登录名的会员网站或具有学生登录名的LMS网站或需要订阅者帐户才能实现其功能的其他网站网站或更大的网站,这很重要。
借助针对零时差漏洞的攻击,另一个插件开始发挥作用。该插件称为Elementor的终极插件。这是一个付费的插件,由一家名为Brainstorm Force的公司生产。我们估计其安装基础约为110,000。那只是我们的估计。可能更大,也可能更少。该团队还为WordPress制作了轻量级的Astra主题。此插件漏洞使任何人都可以在网站上创建帐户,即使订阅注册已关闭也是如此。因此,攻击者正在利用此漏洞创建用户帐户。然后他们着手使用新注册的帐户来利用Elementor Pro的零日漏洞,并实质上实现了远程执行代码。
WordPress网站遭到入侵的人向我们发出了此漏洞和此利用行为的警报。然后,托管服务提供商与我们共享了他们的日志文件。我们能够证实和核实这些关于积极剥削的报告。Brainstorm Force在wordpress.org论坛上发布了他们必须修复并联系Elementor的信息。我们一发现就立即与Elementor联系,并编写了防火墙规则,显然是为了保护网站免遭高级客户当前可用的利用。很快就发布了修复程序,但是有一段时间,零日漏洞的存在[被存在]被大量的Slack频道以及wordpress.org论坛公开。
这只是证明发现安全漏洞时WordPress社区的行动速度有多快。提醒一下,如果您发现自己的网站已被黑客入侵,或者在Slack论坛或其他地方看到有关正在发生的利用漏洞的ter声,那么尽快通知开发人员该易受攻击的插件或主题非常重要。像这样公开讨论时,会使整个社区面临风险。当然,Wordfence客户会收到防火墙规则以保护其站点。
还要祝贺Elementor,即使在“零日”漏洞中,最近也通过该仓库中的免费插件实现了500万次主动安装。提醒您,“零日”只是名人的错误。负责任的开发人员会迅速修补以保护他们的客户,并且他们将继续创造出色的软件,这些公司将永远成功。
5月第二周,我们最终的WordPress安全故事是关于SiteOrigin插件的页面构建器。它已安装在超过一百万个站点上。Chloe Chamberland在此插件中发现了两个漏洞。这两个漏洞都使攻击者能够代表站点管理员伪造请求并在管理员的浏览器中执行恶意代码。攻击者需要诱使站点管理员执行某项操作,例如单击附件中的链接以使此攻击成功。修补的版本为2.10.16。Wordfence防火墙的免费版和高级版都通过内置的跨站点脚本保护功能来防御这些漏洞。该开发人员很快进行了修补,并非常感谢通过负责任的披露方式报告了这些漏洞。他们甚至为Wordfence购买了高级许可证,以感谢我们使他们的软件更加安全。所以我们谢谢你。那是一个很棒的手势,使我们感到非常棒。
看到,很多人认为安全研究人员和开发人员之间存在争议的关系,并且开发人员轻视我们来寻找漏洞。事实并非如此,尤其是在WordPress社区中,这个使WordPress成为现实的开源社区。在黑客发现安全漏洞之前,先查找并修补它们,使每个人都更加安全,开发人员也理解这一点。他们非常感谢在发现漏洞并以负责任的方式披露漏洞并修补漏洞方面所提供的额外支持。当这些开发人员可以轻松找到负责任的披露政策,以便Wordfence和其他地方的安全研究人员可以安全,快速,轻松地与开发人员联系时,这也非常有用。尤其是在可能发生主动攻击的情况下,
因此,所有显示注释中都包含此链接。前往Chloe的博客文章,无论是针对SiteOrigin Page Builder,还是针对[Google]网站工具包。她那里有一些概念证明视频,向您展示了如何利用这些漏洞。我认为这些视频很棒。它确实有助于解释漏洞的工作原理,还可以使您了解防火墙的工作方式。
如果您喜欢这些视频,我们将在Wordfence Office Hours的下一集中为您服务。我们已将Wordfence Office Hours移至YouTube,并且我们每个太平洋时间星期二中午9:00 AM进行这些操作。克洛伊(Chloe)将加入我们的下一集。她将向我们展示如何入侵网站。因此,在Office Hours中将进行一些实时黑客攻击,这将很有趣。Chloe也是一个了不起的人,我等不及你们大家见面了。尽管如果您已经听了一段时间,但几个月前,几周前,您已经听到了我对她的采访。这种隔离的事情使他与我隔了几天又几个月的时间。
无论如何,请在太平洋时间每周二太平洋时间上午2点(美国东部时间)加入我们的办公时间。这将非常令人兴奋。您可以订阅YouTube上的Wordfence频道。我将在展示笔记中添加一个链接。如果您在即将到来的剧集的办公时间里敲打视频占位符,当下一个Wordfence办公时间到来时,您会收到提醒。截至今天,我们在YouTube上播出了两集。你可以去看看那些。如果您展开说明框,则可以看到节目部分的一些时间戳,以便您深入了解更多内容。
在我们于5月12日录制的最新剧集中,蒂姆·坎特雷尔(Tim Cantrell)和我和斯科特·米勒(Scott Miller)一起在《办公时间》中与他谈论了一个网络钓鱼活动,该网络攻击使许多收件箱都受到攻击。它以网站所有者为目标。因此,这绝对是值得一听的东西。这是打击所有这些收件箱的又一个比特币骗局。我很高兴看到我们团队中的更多人将加入我们的办公室时光集。这真是太有趣了,尤其是因为我们错过了在WordCamps上与大家见面的机会。
感谢您收听“像黑客一样思考”。继续给我们点赞或对我们的Apple播客进行评论。绝对可以加入我们的YouTube。在Twitter上关注我,我会告诉您整个Wordfence团队的工作。当然,如果您没有在自己喜欢的社交媒体上关注Wordfence,那么无论在Instagram还是Facebook或Twitter上,我们到处都是Wordfence 。
