資安業者NinTechNet日前揭露知名WordPress外掛程式Easy WP SMTP含有重大的零時差攻擊漏洞,將允許駭客接管WordPress網站,隨後另一資安業者Wordfence則發現,已有不同的駭客針對該漏洞展開攻擊,其中一組利用它來執行技術支援詐騙。

Easy WP SMTP可讓WordPress用戶藉由SMTP伺服器配置及傳送電子郵件,以避免自該站寄出的郵件被歸類為垃圾郵件,估計全球有超過30萬個WordPress網站安裝了此一外掛。

相關漏洞主要涉及Easy WP SMTP 1.3.9版新增的匯入/匯出功能,它可用來匯入或匯出外掛程式的配置,並更新WordPress資料庫的選項,然而,它並未檢查使用者的權限,於是任何登入的使用者或訂閱用戶都能夠觸發它,允許未經授權的使用者傳送AJAX請求以執行任何程式。

NinTechNet的研究人員打造了一個概念性驗證程式,藉由匯入設定上傳了一個含有惡意程式的檔案,啟用使用者註冊功能並把使用者的預設身分設為資料庫的管理員。同時NinTechNet也發現駭客已開採該漏洞,但駭客並非只建立一個管理員帳號,而是讓所有使用者都具備管理員權限,這意味著只要一個單純的訂閱用戶就能執行管理功能。

隨後Wordfence更發現至少有兩組駭客已針對該漏洞展開攻擊。其中一組駭客只利用該漏洞來新增管理員帳號,以備不時之需,但另一組駭客則進一步將使用者流量導至技術支援詐騙網頁,企圖展開詐騙行動。

Easy WP SMTP是在3月15日得知此一漏洞的存在,並於3月17日釋出了修補該漏洞的Easy WP SMTP 1.3.9.1版,有鑑於駭客仍在搜尋尚未修補相關漏洞的WordPress網站,資安專家們呼籲Easy WP SMTP用戶應儘快部署最新版本。


Advertisement

更多 iThome相關內容