WordPress核心更新服务器已因一项安全漏洞而遭到恶意入侵。WordPress安全项目WordFence首席开发者Matt Barry发现,攻击者能够提交极弱散列算法并作为验证过程的组成部分。如此一来,共享密钥只需要数个小时即可暴力破解完成。
这项已被关闭的远程代码执行漏洞源自api.wordpress.org内的一个php webhook,其允许开发者自行选择散列算法以证明代码更新合法。
这样狭窄的猜测范畴已经被WordPress安全系统所发现并关注。
利用这项漏洞的攻击者随后可向WordPress更新服务器发送URL,其会被旋即推送至全部WordPress站点。Web监控服务W3techs.com认为,这些站点可能占全球整体万维网网站中的27.1%。
“通过入侵api.wordpress.org,攻击者可能足以一次性突破全世界超过四分之一的网站,”Barry表示。
“我们分析了WordPress的代码,并发现其中一项安全漏洞可能允许攻击者在api.wordpress.org上执行其自有代码并获取访问权。”
“入侵更新服务器可能意味着攻击者能够提供自有URL,从而将软件自动下载并安装至各WordPress网站当中。”
攻击者还能够进一步执行恶意活动; 一旦后门或者恶意更新被推送完成,他们将能够立足于受入侵网站禁用WordPress的默认自动更新机制。
Barry指出,WordPress未能利用签名验证以检查已安装的各项更新,而是选择信任来自api.wordpress.org的全部URL与软件包。
WordPress的哈希验证流程在受到削弱之后,攻击者将能够向shell_exec直接传送POST参数,从而执行远程代码并顺利入侵api.wordpress.org更新服务器。
Barry选择了安全性较弱的adler32散列算法,其能够将可能的排列组合由43亿个(2的32次方)大幅缩减至10万到40万个。
“这代表着共享内容更易被猜出,只需要数个小时攻击者即可自行向api.wordpress.org发送webhook,”Barry表示。“一旦该webhook允许此请求,攻击方即可在api.wordpress.org上执行shell命令以访问底层操作系统,这意味着api.wordpress.org被正式攻破。”
Barry于9月2日将该项bug报告给了WordPress开发方Automattic,五天之后相关修复补丁即正式推出。然而他仍然认为,api.wordpress.org将成为数百万依赖其进行更新的WordPress网站的单点故障根源。在他看来,Automattic方面并没有回应他提出的故障点讨论建议,亦无意调整现有更新认证机制。Barry并不是惟一一名关注这种控制能力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中,亦有研究人员提出了类似的理论性攻击途径。
不过尽管这方面建议最早可追溯至三年前,但WordPress管理方显然仍坚持对这一观点加以忽略。
来源:E安全(https://www.easyaq.com/newsdetail/id/1379024767.shtml)
上一篇:美国大选三个摇摆州投票系统或被黑
下一篇:黑客成功入侵多个国家的大使馆