Hi,欢迎光临:我的网站! 收藏我们

WordPress自动更新破绽:超1/4网站可被黑客一举击

本文关键词:来源:未知 作者:辉煌世界
<h1 class="YaHei" color:#333333;text-align:center;background-color:#ffffff;"="" style="color: rgb(0, 0, 0); font-family: &quot;sans serif&quot;, tahoma, verdana, helvetica; font-size: 16px;">WordPress自动更新漏洞:超1/4网站可被黑客一举击溃

Wordfence最新破绽形成大局部的网站被黑,Wordfence最近披露了某个影响范围很广的平安成绩,少量WordPress网站都遭到影响。这个破绽应用的是WordPress的自动更新功用,此功用默许是开启的,又由于整个互联网上大约有27%的站点都采用WordPress,所以Wordfence声称,整个web世界有27%的网站都能够因而被黑。

复杂说就是应用WordPress更新效劳器的弱点,控制该效劳器,自然也就可以同时对一切采用WordPress的网站完成入侵了。

一击黑入全球1/4的网站

在WordPress生态中,api.wordpress.org效劳器的重要功用在于,爲WordPress站点发布自动更新。各WordPress站点,每隔1个小时就会向该效劳器发起恳求,反省插件、主题和WordPress中心更新。

api.wordpress.org效劳器的呼应就包括了WordPress各局部能否需求自动更新,呼应中也包括下载和装置更新软件的URL地址。

于是,只需搞定了这台效劳器,黑客也就可以让一切的WordPress站点自动从他们本人的URL下载和平安歹意顺序了。也就是说,攻击者经过api.wordpress.org的自动更新机制,就能大规模黑入少量WordPress站点。

 

整个进程实践上是完全可行的,由于WordPress自身并不提供软件的签名验证。它信任api.wordpress.org提供的恣意URL地址和包。WordPress文档中有提到:默许状况下,每个站点都会开启自动更新功用,接纳中心文件更新。

依照Wordfence的说法,黑客只需求针对api.wordpress.org一击,就能让全球超越1/4的网站感染歹意顺序。

api.wordpress.org破绽技术细节

这个更新效劳器有个GitHub webhook,它可以让WordPress中心开发者将代码同步到wordpress.org SVN库,也就可以将GitHub作爲其源代码库了。这样一来,中心开发者只需在GitHub提交更改,就会触发api.wordpress.org的一个进程,也就能方便得从GitHub取得最新代码。

这里api.wordpress.org联络GitHub的URL也就是所谓的“webhook”,这东西是用PHP写的。此webhook的PHP是开源的,点击这里就能获取。

Wordfence对其中的代码停止了剖析,发现了其中的一个破绽。攻击者应用该破绽就可以在api.wordpress.org上执行恣意代码,并且取得api.wordpress.org的拜访权。实践上也就是近程代码执行破绽了。

来自GitHub的恳求抵达api.wordpress.org,那麼webhook会经过共享的hashing算法来确认,确实是GitHub收回的恳求。整个进程是GitHub收回JSON数据,它会将数据和共享秘值停止混合,哈希后将哈希值与JSON数据一同发给api.wordpress.org。

api.wordpress.org收到恳求之后,也将JSON数据和共享秘值停止混合,然后算哈希。最终后果假如和GitHub发来的婚配,也就证明了来源是没成绩的,是GitHub发来的恳求。

 

GitHub采用SHA1来生成哈希,并且在header: X-Hub-Signature: sha1={hash}的地位给出签名。webhook提取算法和哈希来确认签名。破绽也就在于:代码会运用客户端提供的哈希函数,这里的客户端通常状况下当然就是GitHub了。在这个进程中,假如可以绕过webhook认证机制,攻击者将可以向shell_exec间接传送POST参数,从而执行近程代码并顺利入侵api.wordpress.org更新效劳器。

当然整个进程需求让webhook以为,攻击者是晓得共享秘值的。不过webhook可以让攻击者选择哈希算法,PHP提供了各种算法。找个足够弱的哈希算法,暴力攻破webhook,收回一系列哈希,猜出共享秘值和发送数据的哈希值,直到猜对爲止,api.wordpress.org就会呼应恳求。

整个进程的概况可以参见文末Wordfence的原文链接。

成绩本源没有处理?

Wordfence是在往年9月份将该破绽上报给Automattic(WordPress母公司)的,Automattic与9月7日向代码库推了fix(有关补丁概况,可以点击这里)。不过Wordfence表示api.wordpress.org依然是部署WordPress中心、插件和主题晋级的单点毛病本源所在。

Wordfence表示已经试图与Automattic平安团队就有关自动晋级零碎的平安成绩展开对话,但没有失掉任何回应。大约在3年前,就有相关WordPress效劳器部署认证机制的讨论,目前都还没有任何停顿。

欢迎转载分享但请注明出处及链接,商业媒体使用请获得相关授权。
分享到:
|  2017-04-14发布  |   次关注    收藏

我也来留个脚印

最新评论 已有条评论