安基網 首頁 資訊 安全報 查看內容

WordPress插件漏洞使320000個網站受到攻擊 用戶急需更新插件版本

2020-1-19 08:53| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: E安全1月18日訊,近日,據外媒報道,兩個WordPress中的插件InfiniteWP Client和WP Time Capsule出現相同的身份驗證漏洞,該漏洞可以使攻擊者無需密碼就可以訪問網站的后端。據悉,該漏洞于2020年1月7日首次被發現,第二天,開發人員就及時發布了新版本的插件,隨后,WebArx在本周星期二公開披露了這些 ...

E安全1月18日訊,近日,據外媒報道,兩個WordPress中的插件InfiniteWP Client和WP Time Capsule出現相同的身份驗證漏洞該漏洞可以使攻擊者無需密碼就可以訪問網站的后端。據悉,該漏洞于2020年1月7日首次被發現,第二天,開發人員就及時發布了新版本的插件,隨后,WebArx在本周星期二公開披露了這些錯誤。

據了解,本來這兩個插件的服務目的是允許用戶從一個中央服務器對多個WordPress安裝進行身份驗證。根據WordFence表示,該插件可以使站點的擁有者可以執行維護指令,例如在所有站點上對核心的插件和主題進行一鍵式更新和備份等操作,以及同時在多個站點上對插件和主題進行激活和停用。

對此,WebArx的研究人員表示,攻擊者只需得到WordPress插件的管理員用戶名,他們就可以利用此漏洞來創建概念驗證并發起攻擊。WebArx研究小組在周三的博客文章概述中表示,兩個插件的系統都包含邏輯問題,使黑客無需密碼即可登錄管理員帳戶,這個漏洞是非常危險的。根據了解,根據WordPressd的插件庫數據統計,有大約300,000個網站正在運行易受攻擊的InfiniteWP Client插件版本。與此同時,根據研究小組的數據統計,WP Time Capsule插件在也在大約20,000個網站上有效。

InfiniteWP客戶端錯誤

據WebArx表示,針對此次泄露受到特別嚴重影響的是1.9.4.5以下的InfiniteWP Client插件版本。對這個版本概念驗證的方法非常簡單,通用漏洞評分系統(CVSS)上該漏洞得了9.8級,或者說是臨界等級。

對于,概念驗證攻擊首先需要使用JSON編碼的有效負載,然后是Base64,接下來,它將以POST請求的形式將其原始信息發送到目標站點。對于該漏洞,主要問題出在init.php文件中的函數iwp_mmb_set_request中。WebArx解釋稱,這個函數可以檢查IWP_MMB_Core類的request_params變量是否為空,而且只有在有效負載滿足某些特定條件時才會填充該變量。WebArx還表示稱,對于此次漏洞的攻擊,攻擊者提供的用戶名將用于以用戶身份登錄,而無需執行任何進一步的身份驗證,沒有密碼更沒有問題。

有研究人員對此表示,在本例中,黑客攻擊的主要條件是負載的iwp_action參數必須等于readd_site或add_site,因為它們是惟一沒有進行授權檢查的操作,而缺少授權檢查就是這個漏洞存在的原因

WP Time Capsule漏洞

至于WP Time Capsule中的漏洞,研究人員表示低于1.21.16的版本是易受攻擊的。對于WP Time Capsule插件,其有效負載可以說是更簡單的,只需要在原始POST請求的正文中包含某個字符串即可。研究人員表示,該問題位于wptc-cron-functions.php第12行中,parse_request函數調用decode_server_request_wptc函數,該函數應該檢查原始POST有效負載是否包含字符串‘IWP_JSON_PREFIX’。

所以,該漏洞的簡短版本應該是“如果請求包含此字符串,那么它將調用wptc_login_as_admin,同時它將獲取所有可用的管理員帳戶,并使用列表中的第一個帳戶,您將以管理員身份登錄”。

如何緩解漏洞帶來的影響

對于針對漏洞攻擊的防御,WebArx還表示稱,在涉及此漏洞時,防火墻可能會給用戶帶來錯誤的安全感。因為,由于身份驗證繞過漏洞通常是代碼中的邏輯錯誤,并且實際上并不涉及看似可疑的有效載荷,因此很難找到并確定這些問題的來源。他們補充表示,由于對有效負載進行了編碼,因此可能很難將其與合法的有效負載區分開。

研究人員還表示由于該漏洞的性質,基于云的防火墻可能無法在惡意或合法流量之間產生影響,因此可能無法有效地防御此漏洞。所以,要解決問題需要更新兩個插件的軟件版本。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6783395065155813901/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱