[color=rgb(62, 62, 62)]2月15日,WordPress REST API内容注入漏洞,该漏洞是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。
[color=rgb(62, 62, 62)]据了解,此漏洞是REST API引起的影响WorePress4.7.0和4.7.1版本,该漏洞可以导致WordPress所有文章内容可以未经验证被查看、修改、删除、甚至创建新的文章,危害巨大。
[color=rgb(62, 62, 62)]目前该漏洞的详情与复现过程已收录至知道创宇404安全实验室运营的Seebug漏洞社区。
[color=rgb(62, 62, 62)]数日前,404 小伙伴们使用ZoomEye网络空间探测引擎发现,受该漏洞影响的网站仍然有15361个,这些网站分别归属于82个国家与地区,其中 Top20 国家与地区分布如下图:
[color=rgb(62, 62, 62)]
图片:WordPress REST API内容注入漏洞-1.jpg
[color=rgb(62, 62, 62)]2月13日,404团队进一步探测这些网站的运行情况,发现共有9338个网站已经留下了黑客的痕迹。随后统计了黑客组织留下的黑客代号,发现不同的黑客代号共出现了85种。其中 Top20 黑客组织代号如下表:
[color=rgb(62, 62, 62)]
图片:WordPress REST API内容注入漏洞-2.jpg
[color=rgb(62, 62, 62)]上表说明的是此时依旧活跃在互联网上的针对该漏洞的黑客组织的排名,接着我们启用了比较擅长的黑客追踪技能,挖掘总结如下(部分):
[color=rgb(62, 62, 62)]1、代号为w4l3XzY3的黑客是事件早期被报道出来的黑客之一,此人曾经于2014年针对Drupal网站进行过相同性质的入侵行为。该黑客一直在入侵网站挂黑页,是个惯犯……
[color=rgb(62, 62, 62)]2.代号为SA3D HaCk3D与MuhmadEmad的黑客入侵后留下的页面是相似的,均含地域性的政治诉求。不禁联想到本次受影响的站点又以美国居多……
[color=rgb(62, 62, 62)]3.代号为Shade与Sxtz的黑客在留下的信息中互相问候,疑似同一组织成员……
[color=rgb(62, 62, 62)]4.代号为GeNErAL HaCkEr ,GeNErAL与RxR HaCkEr的黑客同样疑似出自同一组织,该组织名为Team Emirates……
[color=rgb(62, 62, 62)]5.代号为GHoST61的黑客留下的信息为土耳其语,翻译出来大意是土耳其无处不在,疑似是出自土耳其的黑客组织……
