WordPress核心更新服务器遭到恶意入侵

WordPress核心更新服务器遭到恶意入侵

黑客接单访客2021-10-11 21:14:005274A+A-

WordPress核心更新服务器已因一项安全漏洞而遭到恶意入侵。WordPress安全项目WordFence首席开发者Matt Barry发现,攻击者能够提交极弱散列算法并作为验证过程的组成部分。如此一来,共享密钥只需要数个小时即可暴力破解完成。

这项已被关闭的远程代码执行漏洞源自api.wordpress.org内的一个php webhook,其允许开发者自行选择散列算法以证明代码更新合法。

这样狭窄的猜测范畴已经被WordPress安全系统所发现并关注。

利用这项漏洞的攻击者随后可向WordPress更新服务器发送URL,其会被旋即推送至全部WordPress站点。Web监控服务W3techs.com认为,这些站点可能占全球整体万维网网站中的27.1%。

“通过入侵api.wordpress.org,攻击者可能足以一次性突破全世界超过四分之一的网站,”Barry表示。

“我们分析了WordPress的代码,并发现其中一项安全漏洞可能允许攻击者在api.wordpress.org上执行其自有代码并获取访问权。”

“入侵更新服务器可能意味着攻击者能够提供自有URL,从而将软件自动下载并安装至各WordPress网站当中。”

攻击者还能够进一步执行恶意活动; 一旦后门或者恶意更新被推送完成,他们将能够立足于受入侵网站禁用WordPress的默认自动更新机制。

Barry指出,WordPress未能利用签名验证以检查已安装的各项更新,而是选择信任来自api.wordpress.org的全部URL与软件包。

WordPress的哈希验证流程在受到削弱之后,攻击者将能够向shell_exec直接传送POST参数,从而执行远程代码并顺利入侵api.wordpress.org更新服务器。

Barry选择了安全性较弱的adler32散列算法,其能够将可能的排列组合由43亿个(2的32次方)大幅缩减至10万到40万个。

“这代表着共享内容更易被猜出,只需要数个小时攻击者即可自行向api.wordpress.org发送webhook,”Barry表示。“一旦该webhook允许此请求,攻击方即可在api.wordpress.org上执行shell命令以访问底层操作系统,这意味着api.wordpress.org被正式攻破。”

Barry于9月2日将该项bug报告给了WordPress开发方Automattic,五天之后相关修复补丁即正式推出。然而他仍然认为,api.wordpress.org将成为数百万依赖其进行更新的WordPress网站的单点故障根源。在他看来,Automattic方面并没有回应他提出的故障点讨论建议,亦无意调整现有更新认证机制。Barry并不是惟一一名关注这种控制能力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中,亦有研究人员提出了类似的理论性攻击途径。

不过尽管这方面建议最早可追溯至三年前,但WordPress管理方显然仍坚持对这一观点加以忽略。

来源:E安全(https://www.easyaq.com/newsdetail/id/1379024767.shtml)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 青迟弦久2022-05-29 09:31:21
  • WordPress核心更新服务器已因一项安全漏洞而遭到恶意入侵。WordPress安全项目WordFence首席开发者Matt Barry发现,攻击者能够提交极弱散列算法并作为验证过程的组
  • 余安并安2022-05-29 09:48:06
  • 力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中,亦有研究人员提出了类似的理论性攻击途径。不过尽管这方面建议最早可追溯至三年前,但WordPress管理方显然仍坚持对这一观点加以忽略。来源:E安全(https://www.easyaq.
  • 俗野勒言2022-05-29 15:38:34
  • ,只需要数个小时攻击者即可自行向api.wordpress.org发送webhook,”Barry表示。“一旦该webhook允许此请求,攻击方即可在api.wordpress.or
  • 泪灼本萝2022-05-29 14:22:53
  • 有更新认证机制。Barry并不是惟一一名关注这种控制能力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中,亦有研究人员提出了类似的理论性攻击途径。不过尽管这方面建议最早可

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理