犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

向所有用户（包括没有权限的用户）显示分配分类术语（assigning taxonomy terms）用户界面；
WP_Query 容易受到 SQL 注入攻击，已强化插件和主题在这方面的漏洞；
文章列表中存在跨站脚本（XSS）漏洞；
REST API 端点存在未经身份验证的权限提升漏洞。

其中REST API 端点的权限提升漏洞，允许未经过身份验证的访问（通过 API）查看、编辑、删除和创建文章及页面，危害极大。不可避免地，网络犯罪分子也瞄准了这一“风口”，尝试攻击未使用4.7.2修复REST API漏洞的WordPress站点获利。

虽然已经有超过100万网站被篡改，但是研究人员现在发现一些破坏行为会留下一个连接流氓医药网站的链接，试图欺骗用户购买药物或通过网络钓鱼的方式诱骗获取他们的信用卡信息。

攻击者试图利用运行在WordPress平台上的网站，而这些网站均没有更新到安全版本。SiteLock的研究人员预计，大约有20名非法攻击者参与到此次“利润瓜分的活动中”，有些人多次篡改网站，有时候会删除其他犯罪分子留下的链接和钓鱼信息，然后换上自己的链接和信息。 

SiteLock公司的Logan Kipp表示，执行这些活动是非常容易的，成本也很低。我们发现差不多有20个不同的攻击者在不断争夺其控制和覆盖的范围。

篡改网站一开始主要是黑客之间进行吹嘘越轨的行为，但是很快地开始演变成“利益驱动”的攻击行为。

Kipp称，

当犯罪分子试图让用户访问流氓药店网站，进而获取用户信用卡信息的时候，我才第一次意识到有人在利用漏洞进行金钱收益。

REST API漏洞是由国外Web安全公司Sucuri发现并披露的，它提供了一组易于使用的HTTP端点，可以使用户以简单的JSON格式访问网站的数据，包括用户，帖子，分类等。检索或更新数据与发送HTTP请求一样简单。

Sucuri表示，自从该漏洞细节公开后，攻击范围不断扩大，最近每天趋于3000次。

 【利用REST API漏洞尝试次数】（来源：Sucuri）

去年12月份，研究人员在WordPress 4.7中发现REST API端点漏洞，并在本月早些时候得到修补。因为WordPress默认开启自动更新工具包程序，所以大多数已经安装了安全更新。仍存的部分未修复网站依然处于威胁之中，SiteLock估计，脆弱网站大约占据所有WordPress网站的15%—20%左右。

根据Sucuri早前发布的报告显示，Wordpress REST API漏洞造成至少超过67000个网站被攻击，而发起攻击的主要来自以下4个团队：

Kipp表示，该漏洞会在较短的时间内得到修复，对大多数已经进行安全更新的用户并无影响，并建议所有使用WordPress的网站主及时更新至最新版本v4.7.2。避免由于REST API的安全问题，导致网站被搜索引擎屏蔽。