根据我们掌握的情况,全球约有27%的网站面临相关风险E安全11月23日讯 互联网中高达四分之一网站可能面临严重威胁——WordPress核心更新服务器已因一项安全漏洞而遭到恶意入侵这项已被关闭的远程代码执行漏洞源自api.wordpress.org内的一个php webhook,其允许开发者自行选择散列算法以证明代码更新合法。
WordPress安全项目WordFence首席开发者Matt Barry发现,攻击者能够提交极弱散列算法并作为验证过程的组成部分如此一来,共享密钥只需要数个小时即可暴力破解完成这样狭窄的猜测范畴已经被WordPress安全系统所发现并关注。
利用这项漏洞的攻击者随后可向WordPress更新服务器发送URL,其会被旋即推送至全部WordPress站点Web监控服务W3techs.com认为,这些站点可能占全球整体万维网网站中的27.1%Barry表示
:“通过入侵api.wordpress.org,攻击者可能足以一次性突破全世界超过四分之一的网站”“我们分析了WordPress的代码,并发现其中一项安全漏洞可能允许攻击者在api.wordpress.org上执行其自有代码并获取访问权。
”“入侵更新服务器可能意味着攻击者能够提供自有URL,从而将软件自动下载并安装至各WordPress网站当中。”
攻击者还能够进一步执行恶意活动; 一旦后门或者恶意更新被推送完成,他们将能够立足于受入侵网站禁用WordPress的默认自动更新机制Barry指出,WordPress未能利用签名验证以检查已安装的各项更新,而是选择信任来自api.wordpress.org的全部URL与软件包。
WordPress的哈希验证流程在受到削弱之后,攻击者将能够向shell_exec直接传送POST参数,从而执行远程代码并顺利入侵api.wordpress.org更新服务器Barry选择了安全性较弱的adler32散列算法,其能够将可能的排列组合由43亿个(2的32次方)大幅缩减至10万到40万个。
“这代表着共享内容更易被猜出,只需要数个小时攻击者即可自行向api.wordpress.org发送webhook,”Barry表示“一旦该webhook允许此请求,攻击方即可在api.wordpress.org上执行shell命令以访问底层操作系统,这意味着api.wordpress.org被正式攻破。
”Barry于9月2日将该项bug报告给了WordPress开发方Automattic,五天之后相关修复补丁即正式推出然而他仍然认为,api.wordpress.org将成为数百万依赖其进行更新的WordPress网站的单点故障根源。
在他看来,Automattic方面并没有回应他提出的故障点讨论建议,亦无意调整现有更新认证机制Barry并不是惟一一名关注这种控制能力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中,亦有研究人员提出了类似的理论性攻击途径。
不过尽管这方面建议最早可追溯至三年前,但WordPress管理方显然仍坚持对这一观点加以忽略E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com。
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。