駭客開採WordPress外掛程式漏洞以進行技術支援詐騙

資安業者NinTechNet日前揭露知名WordPress外掛程式Easy WP SMTP含有重大的零時差攻擊漏洞，將允許駭客接管WordPress網站，隨後另一資安業者Wordfence則發現，已有不同的駭客針對該漏洞展開攻擊，其中一組利用它來執行技術支援詐騙。

Easy WP SMTP可讓WordPress用戶藉由SMTP伺服器配置及傳送電子郵件，以避免自該站寄出的郵件被歸類為垃圾郵件，估計全球有超過30萬個WordPress網站安裝了此一外掛。

相關漏洞主要涉及Easy WP SMTP 1.3.9版新增的匯入/匯出功能，它可用來匯入或匯出外掛程式的配置，並更新WordPress資料庫的選項，然而，它並未檢查使用者的權限，於是任何登入的使用者或訂閱用戶都能夠觸發它，允許未經授權的使用者傳送AJAX請求以執行任何程式。

NinTechNet的研究人員打造了一個概念性驗證程式，藉由匯入設定上傳了一個含有惡意程式的檔案，啟用使用者註冊功能並把使用者的預設身分設為資料庫的管理員。同時NinTechNet也發現駭客已開採該漏洞，但駭客並非只建立一個管理員帳號，而是讓所有使用者都具備管理員權限，這意味著只要一個單純的訂閱用戶就能執行管理功能。

隨後Wordfence更發現至少有兩組駭客已針對該漏洞展開攻擊。其中一組駭客只利用該漏洞來新增管理員帳號，以備不時之需，但另一組駭客則進一步將使用者流量導至技術支援詐騙網頁，企圖展開詐騙行動。

Easy WP SMTP是在3月15日得知此一漏洞的存在，並於3月17日釋出了修補該漏洞的Easy WP SMTP 1.3.9.1版，有鑑於駭客仍在搜尋尚未修補相關漏洞的WordPress網站，資安專家們呼籲Easy WP SMTP用戶應儘快部署最新版本。