原标题:已有超过6万个未更新的WordPress网站遭受攻击
示意图,与新闻事件无关。
还记得WordPress在两周前释出了WordPress 4.7.2并修补3个安全漏洞吗?该版本其实还修补了一个涉及未经验证之权限扩张的重大漏洞,允许骇客自远端存取、编辑或删除WordPress的网页,而今,资安业者Sucuri发现,已有超过6万个WordPress网站因该漏洞而遭到攻击。
当WordPress在1月26日释出WordPress 4.7.2时,公告写着修补了3个漏洞,分别是跨站指令码(Cross-site Scripting,XSS)漏洞、资料隐码(SQL injection)漏洞与Post List Table漏洞。
但在一周后的2月1日,WordPress补充说明WordPress 4.7.2其实还修补了另一个重大的安全漏洞,这是一个藏匿在REST API中的未经验证权限扩张漏洞,但仅影响WordPress 4.7与WordPress 4.7.1。WordPress表示,虽然透明化可维护大众的最大利益,但这次他们故意延后一周发布该漏洞讯息是希望腾出一些时间以让数百万的WordPress网站来得及更新。
向WordPress揭露此一漏洞的Sucuri则说,就在WordPress公布漏洞的48小时内,网路上便已出现多款攻击程式,尝试侦测网路上尚未升级的WordPress网站,并自远端修改这些网站的内容,而且迄今至少出现了4组骇客人马,代号分别是w4l3XzY3、Cyb3r-Shia、By+NeT.Defacer,以及 By+Hawleri_hacker。
其中,蔓延最迅速的是w4l3XzY3,若在Google上以by w4l3XzY3进行关键字搜寻,可看出已有6.6万个WordPress网站遭到攻击。
WordPress为全球最受欢迎的开放源码内容管理系统,估计全球有超过6000万个网站採用WordPress。WordPress平台的预设值为自动更新,因此受到攻击的网站都是变更了该预设值,不只是资安业者,连Google近日都已寄出邮件督促WordPress旧版用户展开升级。
相关:
示意图,与新闻事件无关。 图片来源: 维基共享资源;作者:Jericho 勒索软体(Ransomware)持续威胁全球,根据资安业者SonicWall蒐集的全球攻击资料,发现2016年勒索软体攻击次数呈高达167倍的爆炸性成长,全年攻击次
台中地检署去年6月因有司机工作超时,经台中市劳工局稽查属实,开罚新台币2万元,台中地检署证实此事并表示,今年起司机排班制改为调度轮序方式,此事与一例一休无关。台中市劳工局长黄荷婷表示,去年接获检举,台中
房市低迷的程度,从建照与使照数量可见端倪。信义房屋发现,去(105)年住宅使照核定数量为民国98年以来第2高,反而建照数量萎缩至不到8万户,为近7年来使照首度超过建照,足见开发商看法保守,不急着抢地推案;而住商
针对近日国內证券期货业者遭遇史上最大规模分散式阻断服务(DDoS)攻击勒索,中华电信第一时间成立网络资安紧急应变中心,强化NOC/SOC网络资安监控,助券商过难关。因应骇客发动大规模DDoS攻击,国內有超过20家券商委
台湾金融机构首度遭遇大规模网络攻击,近期有8家券商遭骇,金管会副主委郑贞茂表示,攻击属于低层次,对投资人影响不大,只是从勒索信来看,骇客攻击事件下礼拜可能还会有。证期局证实目前已有8家券商,包含大展证券