WordPress漏洞补丁安装后门以进行全面网站接管

虚假的安全警报旨在修复RCE漏洞，但实际上创建了一个具有管理员权限的用户，并将后门传播到受感染的站点。

攻击者用虚假的安全警报来警告WordPress用户存在伪造的远程代码执行(RCE)漏洞，它提供了一个补丁，实际上是传播可以劫持网站的恶意代码。

Wordfence和Patchstack的研究人员都发现了这个电子邮件活动，它模仿WordPress，警告用户注意一个漏洞CVE-2023-45124，敦促用户点击链接下载一个可以修复这个漏洞的插件。

Patchstack在一篇关于该活动的博客文章中警告用户：“这不是一封合法的电子邮件，他们要求你下载并安装的插件会通过后门和恶意管理员帐户感染你的网站。”

据Patchstack称，攻击者可以利用后门进行恶意活动，例如向网站注入广告，将用户重定向到恶意网站，或窃取计费信息。他们还可以利用它进行分布式拒绝服务(DDoS)攻击，或者通过复制网站的数据库来勒索网站所有者，然后将其作为加密货币支付的人质。

研究人员指出，好消息是，到目前为止，似乎没有任何目标被该活动感染，这需要用户采取行动才能成功。

此外，据Patchstack称，攻击者的目标是通过通知安装和激活插件的受害者CVE-2023-45124已被成功修补，然后鼓励他们与你认为可能受此漏洞影响的人分享补丁，让用户为他们做传播工作。

WordPress上建立了数以亿计的网站，这个平台和它的用户代表了一个巨大的攻击面，因此经常成为恶意活动的目标，通过安装恶意软件的插件或针对WordPress用户的网络钓鱼活动。或者，在这种情况下，两者兼而有之。攻击者还倾向于迅速抓住WordPress中发现的漏洞，目前的攻击活动充分利用了这一风险，用潜在的可利用漏洞威胁引诱用户。

然而，研究人员警告说：“这些变量可能会随着攻击者的突发奇想而改变。明天他们很可能会把用户名设置成其他东西，或者设置另一个恶意域名。”

Wordfence计划在未来发布一篇文章，对插件和后门进行更深入的研究。目前，研究人员警告用户，他们应该警惕与该活动相关的网络钓鱼电子邮件，避免点击其中的任何链接，甚至是退订链接。