犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

简介: 本文讲的是犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动,1月26日,WordPress 释放安全更新 WordPress 4.7.2,修复了 4 个安全漏洞
本文讲的是 犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动1月26日,WordPress 释放安全更新 WordPress 4.7.2,修复了 4 个安全漏洞:
向所有用户(包括没有权限的用户)显示分配分类术语(assigning taxonomy terms)用户界面;
WP_Query 容易受到 SQL 注入攻击,已强化插件和主题在这方面的漏洞;
文章列表中存在跨站脚本(XSS)漏洞;
REST API 端点存在未经身份验证的权限提升漏洞。

其中REST API 端点的权限提升漏洞,允许未经过身份验证的访问(通过 API)查看、编辑、删除和创建文章及页面,危害极大。不可避免地,网络犯罪分子也瞄准了这一“风口”,尝试攻击未使用4.7.2修复REST API漏洞的WordPress站点获利。

 犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

虽然已经有超过100万网站被篡改,但是研究人员现在发现一些破坏行为会留下一个连接流氓医药网站的链接,试图欺骗用户购买药物或通过网络钓鱼的方式诱骗获取他们的信用卡信息。

攻击者试图利用运行在WordPress平台上的网站,而这些网站均没有更新到安全版本。SiteLock的研究人员预计,大约有20名非法攻击者参与到此次“利润瓜分的活动中”,有些人多次篡改网站,有时候会删除其他犯罪分子留下的链接和钓鱼信息,然后换上自己的链接和信息。 

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

SiteLock公司的Logan Kipp表示,执行这些活动是非常容易的,成本也很低。我们发现差不多有20个不同的攻击者在不断争夺其控制和覆盖的范围。

篡改网站一开始主要是黑客之间进行吹嘘越轨的行为,但是很快地开始演变成“利益驱动”的攻击行为。

Kipp称,

当犯罪分子试图让用户访问流氓药店网站,进而获取用户信用卡信息的时候,我才第一次意识到有人在利用漏洞进行金钱收益。

REST API漏洞是由国外Web安全公司Sucuri发现并披露的,它提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子,分类等。检索或更新数据与发送HTTP请求一样简单。

Sucuri表示,自从该漏洞细节公开后,攻击范围不断扩大,最近每天趋于3000次。

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

 【利用REST API漏洞尝试次数】(来源:Sucuri)

去年12月份,研究人员在WordPress 4.7中发现REST API端点漏洞,并在本月早些时候得到修补。因为WordPress默认开启自动更新工具包程序,所以大多数已经安装了安全更新。仍存的部分未修复网站依然处于威胁之中,SiteLock估计,脆弱网站大约占据所有WordPress网站的15%—20%左右。

根据Sucuri早前发布的报告显示,Wordpress REST API漏洞造成至少超过67000个网站被攻击,而发起攻击的主要来自以下4个团队:

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

Kipp表示,该漏洞会在较短的时间内得到修复,对大多数已经进行安全更新的用户并无影响,并建议所有使用WordPress的网站主及时更新至最新版本v4.7.2。避免由于REST API的安全问题,导致网站被搜索引擎屏蔽。




原文发布时间为:2017年2月25日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
1月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
59 10
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
65 10
|
1月前
|
SQL 安全 网络安全
网络安全漏洞、加密技术与安全意识的知识分享
随着互联网的普及,网络安全问题日益严重。本文将介绍网络安全漏洞的概念、类型和防范措施,以及加密技术的原理和应用。同时,强调提高个人和企业的安全意识对于防范网络攻击的重要性。
|
1月前
|
监控 安全 网络安全
网络安全与信息安全:漏洞、加密与意识的交织
在数字时代的浪潮中,网络安全与信息安全成为维护数据完整性、保密性和可用性的关键。本文深入探讨了网络安全中的漏洞概念、加密技术的应用以及提升安全意识的重要性。通过实际案例分析,揭示了网络攻击的常见模式和防御策略,强调了教育和技术并重的安全理念。旨在为读者提供一套全面的网络安全知识框架,从而在日益复杂的网络环境中保护个人和组织的资产安全。
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密与意识的艺术
在数字世界的迷宫中,网络安全和信息安全是守护者之剑。本文将揭示网络漏洞的面纱,探索加密技术的奥秘,并强调安全意识的重要性。通过深入浅出的方式,我们将一起走进这个充满挑战和机遇的领域,了解如何保护我们的数字身份不受威胁,以及如何在这个不断变化的环境中保持警惕和适应。
43 1
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全的护城河:漏洞、加密与意识的三重奏
在数字时代的浪潮中,信息安全如同一座城堡的护城河,保护着数据的安全和隐私。本文将探讨网络安全中的漏洞、加密技术和安全意识三个核心要素,以及它们如何协同作用,形成一道坚固的防线。通过深入浅出的方式,我们将了解网络攻击者如何利用漏洞进行入侵,加密技术如何为我们的数据穿上“铠甲”,以及为何培养良好的安全习惯是维护网络安全不可或缺的一环。
|
1月前
|
SQL 安全 算法
网络安全之盾:漏洞防御与加密技术解析
在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私和企业资产的重要防线。本文将深入探讨网络安全的薄弱环节—漏洞,并分析如何通过加密技术来加固这道防线。文章还将分享提升安全意识的重要性,以预防潜在的网络威胁,确保数据的安全与隐私。
78 2
|
2月前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术深度解析
在数字信息的海洋中,网络安全是航行者不可或缺的指南针。本文将深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示它们如何共同构筑起信息时代的安全屏障。从最新的网络攻击手段到防御策略,再到加密技术的奥秘,我们将一起揭开网络安全的神秘面纱,理解其背后的科学原理,并掌握保护个人和企业数据的关键技能。
94 3