黑客利用远程代码执行漏洞，超过30万个网站易受到攻击

黑客正积极利用一个关键的远程代码执行漏洞，允许未经验证的攻击者在运行易受攻击的File Manager插件版本的WordPress站点上载脚本并执行任意代码。

9月1日上午，塞拉沃的待命安全官员Ville Korhonen第一个发现了这个漏洞，并且发现了一个事实，即威胁参与者已经在试图利用它进行攻击，将恶意PHP文件上传到易受攻击的网站上。

在Korhonen发现攻击并向插件开发人员报告漏洞后的几个小时内，File Manager的开发人员在6.9版本的发布中修补了这个严重的缺陷。

文件管理器插件目前安装在超过700000个WordPress站点上，该漏洞影响6.0到6.8之间的所有版本。

已经探测到45万个地点

Wordfence的研究人员也在9月1日早上从Arsys的Gonzalo Cruz那里得知了这一持续的攻击，他为他们提供了一个有效的概念证明，让他们能够研究如何阻止攻击。

WordPress安全公司后来表示，Wordfence Web应用防火墙在过去几天内能够阻止超过45万次的攻击尝试。

Wordfence说，黑客试图将图片中隐藏的网页外壳的PHP文件上传到wp content/plugins/wp file manager/lib/files/文件夹。

他们还发现他们首先用空文件探测潜在的易受攻击的站点，并且只有在攻击成功的情况下，才试图注入恶意脚本。

NinTechNet也报告了这些攻击企图，称攻击者试图上传一个恶意的hardfork.php文件允许他们在WordPress站点的/wp admin/admin中注入恶意代码的脚本

超过30万个网站仍然容易受到攻击

Wordfence的信息安全主管Chloe Chamberland解释说：“像这样的文件管理器插件可以让攻击者直接从WordPress仪表板操作或上传他们选择的任何文件，有可能让他们在网站的管理区域升级权限。”。

“例如，攻击者可以使用泄露的密码访问站点的管理区域，然后访问此插件并上载一个webshell以进一步枚举服务器，并可能使用另一个漏洞升级其攻击。

昨天上午，文件管理器的开发团队通过文件管理器6.9的发布解决了这个被积极利用的关键漏洞。

然而，根据WordPress插件门户网站上提供的历史下载数据，在过去两天内，该插件仅被下载了126000次，包括更新和新安装，导致57.4万个WordPress网站暴露在外。

幸运的是，在安装了活动文件管理器插件的所有站点中，只有51.5%的站点（总计超过300000个站点）正在运行一个易受攻击的版本，攻击者可以在成功利用该漏洞后执行任意代码。

建议文件管理器用户尽快将插件更新到6.9版本，以阻止正在进行的攻击。
责编AJX