内存安全周报第152期 | WordPress迁移插件缺陷可能导致数据泄露
一、WordPress迁移插件缺陷可能导致数据泄露(8.30)
All-in-One WP Migration是一个流行的数据迁移插件,现服务于拥有500万活跃安装数量的WordPress站点,黑客利用未经身份验证的访问令牌操作,访问该数据迁移插件的敏感站点信息。
详细情况
All-in-One WP Migration是一个用户友好的WordPress站点迁移工具,适用于非技术与无经验的用户,允许用户将数据库、媒体、插件和主题无缝导出到单一存档中,便于用户在新目的地轻松恢复数据。据了解,插件的供应商ServMask提供的高级扩展都包含相同的易受攻击代码片段,在init函数中缺乏权限与nonce验证。
代码分别存在于Box扩展,Google Drive扩展,One Drive扩展和Dropbox扩展中,这些扩展是为使用上述第三方平台促进数据迁移程序而创建。漏洞确认为CVE-2023-40004,该漏洞允许未经身份验证的用户访问和操纵受影响扩展上的令牌配置,存在允许黑客将网站迁移数据转移到自己的第三方云服务账户或恶意备份的风险。CVE-2023-40004可能导致用户详细信息、关键网站数据和专有信息等数据泄露。
由于All-in-One WP Migration仅在站点迁移项目中使用,且通常不会在其他时间处于活动状态,因此安全问题在一定程度上得到缓解。研究人员于2023年7月18日发现这个被破坏的访问控制漏洞,并报告给供应商ServMask进行修复,该供应商于2023年7月26日发布安全更新,引入对init函数的权限与nonce验证。
参考链接
二、西班牙警告:警惕LockBit Locker勒索软件的网络钓鱼攻击(8.28)
西班牙国家警察警告,持续运作的LockBit Locker勒索软件现利用网络钓鱼电子邮件攻击西班牙的建筑公司。
详细情况
西班牙国家警察发现一波针对西班牙建筑公司发送的电子邮件浪潮,且不排除网络钓鱼电子邮件攻击行动将波及其他行业,此次发现的黑客攻击较为复杂,受害者遭受终端加密之前甚至不会怀疑自己已受到黑客攻击。
据了解,黑客冒充一家新开业的摄影公司,其网络钓鱼电子邮件从不存在的域名“fotoprix.eu”发送,要求建筑公司提供设施改造、开发计划及工作成本的估算。在与建筑公司建立信任后,LockBit运营商指定一个会议日期讨论建筑项目的预算和细节,并向建筑公司发送包含有关建筑翻修规格的磁盘映像(.img)文件,当建筑公司使用较新的Windows版本打开,文件将自动挂载为驱动器号,并显示内容。黑客发送的档案包括一个命名为“fotoprix”的文件夹,其中有大量的Python文件、批处理文件与可执行文件;此外,档案还存放一个命名为“Caracteristicas”的Windows快捷方式,启动后将执行恶意Python脚本。
据分析,执行的恶意Python脚本会检查用户是否为设备管理员:如果是,该脚本会对系统进行实现持久性的修改,并执行“LockBit Locker”的勒索软件来加密文件;如果不是,脚本则利用Fodhelper UAC旁路来启动具有管理员权限的勒索软件加密器。研究人员认为,本次攻击实际上是由不同黑客利用泄露的LockBit 3.0勒索软件构建器发起的。常规的LockBit操作利用Tor协商站点运行,而“LockBit Locker”则利用电子邮件 “lockspain@onionmail.org” 或通过 Tox 消息平台运行。
黑客利用社会工程的复杂性,冒充私营公司或政府机构,在攻击中广泛散播“招标”诱饵,利用精心制作的文件来向受害者证明信息的合法性与可信度。
参考链接
