E安全1月18日訊,近日,據外媒報導,兩個WordPress中的插件InfiniteWP Client和WP Time Capsule出現相同的身份驗證漏洞,該漏洞可以使攻擊者無需密碼就可以訪問網站的後端。據悉,該漏洞於2020年1月7日首次被發現,第二天,開發人員就及時發布了新版本的插件,隨後,WebArx在本周星期二公開披露了這些錯誤。
據了解,本來這兩個插件的服務目的是允許用戶從一個中央伺服器對多個WordPress安裝進行身份驗證。根據WordFence表示,該插件可以使站點的擁有者可以執行維護指令,例如在所有站點上對核心的插件和主題進行一鍵式更新和備份等操作,以及同時在多個站點上對插件和主題進行激活和停用。
對此,WebArx的研究人員表示,攻擊者只需得到WordPress插件的管理員用戶名,他們就可以利用此漏洞來創建概念驗證並發起攻擊。WebArx研究小組在周三的博客文章概述中表示,兩個插件的系統都包含邏輯問題,使黑客無需密碼即可登錄管理員帳戶,這個漏洞是非常危險的。根據了解,根據WordPressd的插件庫數據統計,有大約300,000個網站正在運行易受攻擊的InfiniteWP Client插件版本。與此同時,根據研究小組的數據統計,WP Time Capsule插件在也在大約20,000個網站上有效。
InfiniteWP客戶端錯誤
據WebArx表示,針對此次泄露受到特別嚴重影響的是1.9.4.5以下的InfiniteWP Client插件版本。對這個版本概念驗證的方法非常簡單,通用漏洞評分系統(CVSS)上該漏洞得了9.8級,或者說是臨界等級。
對於,概念驗證攻擊首先需要使用JSON編碼的有效負載,然後是Base64,接下來,它將以POST請求的形式將其原始信息發送到目標站點。對於該漏洞,主要問題出在init.php文件中的函數iwp_mmb_set_request中。WebArx解釋稱,這個函數可以檢查IWP_MMB_Core類的request_params變量是否為空,而且只有在有效負載滿足某些特定條件時才會填充該變量。WebArx還表示稱,對於此次漏洞的攻擊,攻擊者提供的用戶名將用於以用戶身份登錄,而無需執行任何進一步的身份驗證,沒有密碼更沒有問題。
有研究人員對此表示,在本例中,黑客攻擊的主要條件是負載的iwp_action參數必須等於readd_site或add_site,因為它們是惟一沒有進行授權檢查的操作,而缺少授權檢查就是這個漏洞存在的原因。
WP Time Capsule漏洞
至於WP Time Capsule中的漏洞,研究人員表示低於1.21.16的版本是易受攻擊的。對於WP Time Capsule插件,其有效負載可以說是更簡單的,只需要在原始POST請求的正文中包含某個字符串即可。研究人員表示,該問題位於wptc-cron-functions.php第12行中,parse_request函數調用decode_server_request_wptc函數,該函數應該檢查原始POST有效負載是否包含字符串『IWP_JSON_PREFIX』。
所以,該漏洞的簡短版本應該是「如果請求包含此字符串,那麼它將調用wptc_login_as_admin,同時它將獲取所有可用的管理員帳戶,並使用列表中的第一個帳戶,您將以管理員身份登錄」。
如何緩解漏洞帶來的影響
對於針對漏洞攻擊的防禦,WebArx還表示稱,在涉及此漏洞時,防火牆可能會給用戶帶來錯誤的安全感。因為,由於身份驗證繞過漏洞通常是代碼中的邏輯錯誤,並且實際上並不涉及看似可疑的有效載荷,因此很難找到並確定這些問題的來源。他們補充表示,由於對有效負載進行了編碼,因此可能很難將其與合法的有效負載區分開。
研究人員還表示由於該漏洞的性質,基於雲的防火牆可能無法在惡意或合法流量之間產生影響,因此可能無法有效地防禦此漏洞。所以,要解決問題需要更新兩個插件的軟體版本。
-
FBI要求蘋果解鎖槍擊案嫌疑人手機 川普呼籲蘋果應配合調查
-
西澳大利亞州P&N銀行發生數據泄露 用戶信息被暴露
-
「紅海地區」陷入大面積斷網危機 葉門海底網絡基建脆弱
-
Facebook頁面中發現嚴重漏洞 可暴露網頁帳戶信息
-
釣魚攻擊威脅選舉人隱私安全?2020年美國大選危機四伏