還記得WordPress在兩周前釋出了WordPress 4.7.2並修補3個安全漏洞嗎?該版本其實還修補了一個涉及未經驗證之權限擴張的重大漏洞,允許駭客自遠端存取、編輯或刪除WordPress的網頁,而今,資安業者Sucuri發現,已有超過6萬個WordPress網站因該漏洞而遭到攻擊,但至截稿為止,數量已超過10萬個。
當WordPress在1月26日釋出WordPress 4.7.2時,公告寫著修補了3個漏洞,分別是跨站指令碼(Cross-site Scripting,XSS)漏洞、資料隱碼(SQL injection)漏洞與Post List Table漏洞。
但在一周後的2月1日,WordPress補充說明WordPress 4.7.2其實還修補了另一個重大的安全漏洞,這是一個藏匿在REST API中的未經驗證權限擴張漏洞,但僅影響WordPress 4.7與WordPress 4.7.1。WordPress表示,雖然透明化可維護大眾的最大利益,但這次他們故意延後一周發布該漏洞訊息是希望騰出一些時間以讓數百萬的WordPress網站來得及更新。
向WordPress揭露此一漏洞的Sucuri則說,就在WordPress公布漏洞的48小時內,網路上便已出現多款攻擊程式,嘗試偵測網路上尚未升級的WordPress網站,並自遠端修改這些網站的內容,而且迄今至少出現了4組駭客人馬,代號分別是w4l3XzY3、Cyb3r-Shia、By+NeT.Defacer,以及 By+Hawleri_hacker。
其中,蔓延最迅速的是w4l3XzY3,若在Google上以by w4l3XzY3進行關鍵字搜尋,可看到已有至少6.7萬個WordPress網站遭到攻擊。
不過,截稿為止,如下圖所示,再以Google搜尋檢視,被恐擊的網站數量已增至11.9萬個。
.jpg)
WordPress為全球最受歡迎的開放源碼內容管理系統,估計全球有超過6000萬個網站採用WordPress。WordPress平台的預設值為自動更新,因此受到攻擊的網站都是變更了該預設值,不只是資安業者,連Google近日都已寄出郵件督促WordPress舊版用戶展開升級。
線