黑客瞄準Tatsu WordPress插件漏洞，發起數百萬次攻擊

據悉，黑客正在大規模利用WordPress網站Tatsu Builder插件中的遠程代碼執行漏洞 CVE-2021-25094發起攻擊。

Tatsu Builder是一個熱門的插件，提供了強大的模板編輯功能，集成在網頁瀏覽器中，約有100,000個網站安裝了該插件。

目標漏洞CVE-2021-25094是由獨立研究人員文森特·米歇爾（Vincent Michel）發現的，文森特于2022年3月28日公開披露了該漏洞以及概念驗證（PoC）漏洞利用代碼。該漏洞允許遠程攻擊者在使用過期版本插件（3.3.12之前的所有版本）的服務器上執行任意代碼。

供應商在3.3.13版本中發布了補丁，并在2022年4月7日通過電子郵件敦促用戶進行應用更新。

為WordPress插件提供安全解決方案的Wordfence公司一直在監控當前的攻擊，大規模攻擊浪潮始于2022年5月10日，并在4天后達到頂峰，目前仍在進行中。盡管自4月初以來已有補丁可用，但是據研究人員估計，仍有20,000到50,000個網站在運行Tatsu Builder的易受攻擊版本。

受到攻擊的網站數量

攻擊細節

Wordfence報告稱，其客戶遭受了數百萬次攻擊，該公司在2022年5 月14日阻止了高達590萬次的攻擊嘗試。在接之后的幾天里，攻擊數量有所下降，但漏洞利用仍處在高水平。

Wordfence檢測到和阻止的攻擊

威脅參與者試圖將惡意軟件dropper注入到“wp-content/uploads/typehub/custom/”目錄子文件夾中，使其成為隱藏文件。Dropper名為“.sp3ctra_XO.php”，MD5哈希值為3708363c5b7bf582f8477b1c82c8cbf8。

擴展的文件檢查功能跳過了隱藏文件

Wordfence報告稱，超過一百萬次的攻擊僅來自三個IP地址：148.251.183[.]254、176.9.117[.]218和217.160.145[.]62，網站管理員應將這些IP添加到阻止列表中。為了規避攻擊風險，建議所有Tatsu Builder插件用戶將其升級到3.3.13版本。

對此，移動和網絡安全公司The Media Trust的首席執行官克里斯·奧爾森（Chris Olson）表示：“當談到網絡安全時，大多數組織很少考慮他們的網站，Tatsu漏洞向我們展示了為什么這是錯誤的，網站在營銷和創收方面發揮著關鍵作用，它越來越多地成為黑客的目標，成為客戶和臨時訪問者的風險來源。”

奧爾森指出，作為預防措施，任何管理組織網站的人都應該定期進行維護，包括更新插件和安全補丁。“如果它運行WordPress或其他嚴重依賴第三方代碼的開源CMS，那就更應該如此，因為這些是風險的主要驅動因素。”