这周WordPress内容管理系统(CMS)让管理人员十分头痛,这主要是因为该网站的2个根本不一样的额外模块的安全隐患。
第一个问题危害WordPress AdSanity插件。这是一个明显的网络安全问题,很有可能容许远程控制执行命令(RCE)和全网站接手。
第二个问题涉及到經典的供应链管理进攻,在其中互联网犯罪嫌疑人毁坏了归属于AccessPress Theme的40个主题和53个插件,便于向他们引入webshell。因而,一切安裝了受感柒插件之一的网站也将对RCE和彻底接手对外开放。
AdSanity插件容许RCE
AdSanity是WordPress的一个轻形广告宣传滚屏插件。它容许用户建立和管理方法网站上展示的广告宣传,并根据一个集中化的汽车仪表板纪录访问量和浏览量。
武士技术性互联网(Ninja Technologies Network)的分析工作人员称,该系统漏洞在CVSS漏洞严重后果级别上的得分约为9.9(100分10分),“很有可能容许低管理权限用户实行随意上传文件、远程控制执行命令和储存的跨网站脚本制作进攻。”
她们在周二的一篇文章中表述说,,系统漏洞(并未分派CVE)是因为密钥管理被毁坏而发生的。当用户在网站上广告投放时,她们大会上传包括原材料的.ZIP文档。该全过程在“adsanity/views/html5-upload.php”脚本制作中应用ajax_upload函数公式开展管理方法。
依据NinTechNet的观点:“该作用用来将.ZIP归档的內容提交并获取到'wp-content/uploads/adsanity/{post_id}/'文件夹名称中。”“它只有一个安全性随机数字,一切具备推动者或以上管理权限的用户都能够浏览,而且仅会完成简洁的查验以保证归档中有index.html文档。”
在WordPress中,推动者人物角色的管理权限仅限三个每日任务——阅读文章全部贴子,及其删掉或编写他们自己的贴子。投稿人不可以公布新贴子或提交文件类型,因而这种管理权限通常配置给一次性或比较有限人物角色的內容创始人、灵活就业人员和其它在企业网站上游逛的人。
可是,因为该系统漏洞,故意推动者可以根据AdSanity插件得到对网站后端彻底访问限制。科学研究工作人员强调,只需要在要提交的.ZIP归档中加上index.php脚本制作就可以完成漏洞检测。
她们说明说:“它的编码将由iframe而不是index.html文档载入,并在每一次用户浏览后端广告宣传管理工具时在metabox内实行。”“假如blog有一个.htaccess文件来阻拦/uploads/文件夹名称中的PHP执行命令,网络攻击可以利用提交另一个.htaccess [file].轻轻松松遮盖该维护。”
她们填补说,“除此之外,网络攻击还能够提交含有JavaScript编码的文档,这可用以看准已经核查贴子的管理人员。”
NinTechNet警示说,该系统漏洞已在1.8.2版本中修补,但升级后,网站使用者仍应核查用户管理权限和对插件的访问限制。
“新版本不允许Contributor用户文件上传,但仍容许Author 用户提交,因而假如您的博主上申请注册了Author用户,您很有可能要分外当心,”科学研究工作人员表述说。
AccessThemes后门
此外,Jetpack的安全性科研工作人员在对受感柒网站开展调查取证时,偶然发现了AccessPress Themes的后门主题,该主题容许远程控制网络攻击实行编码。
Jetpack科学研究工作人员深入分析了该公司的公共图书馆并迅速发觉,当牵涉到免费产品时,“全部主题和大部分插件......都被引入了后门”,这将使网络攻击可以良好控制一切安裝了在其中一个损伤插件的网站。
AccessPress Themes给予了好几个完全免费和花钱的主题和插件,可用以自定WordPress推动的网站——据其网站称,一共有64个主题和109个插件,累计360,000次安裝。
遗憾的是,Jetpack上星期公布的询问建议称,问题好像仍在再次:“大部分插件早已升级,”“可是,受影响的主题并未升级,而且是以WordPress.org主题储存库文件获取的。”
特别注意的是,该系统漏洞会危害立即从开发人员网站免费下载的商品;科学研究工作人员强调,一切立即从WordPress.org免费下载的AccessPress Themes商品全是无毒性的。
一个根据Cookie的Webshell
受传染的扩展程序包括一个用以webshell的安全泄压阀,该释放器被引入到坐落于主插件或主题文件目录中的“initial.php”文档中。
“运作时,它会在'wp-includes/vars.php'中安裝一个根据cookie的webshell,”科学研究工作人员表述说。“shell是一个安裝在'wp_is_mobile()'函数公式前边的函数公式,名字为'wp_is_mobile_fix()'。这大约是因为不造成随便查询'vars.php'文档的人的猜疑。”
安裝shell后,dropper会将远程控制图象载入到指令和操纵(C2)网络服务器,在其中包括受感柒网站的URL及其关于它采用的主题的信息内容。随后,依据剖析,它会删掉dropper源代码以防止检验。
C2可以根据推送含有用户代理商字符串数组“wp_is_mobile”及其八个特殊cookie的要求来激话webshell以实行编码。随后后门将这种给予的cookie拼接在一起并实行合理负荷。
她们说,科学研究工作人员还看到了第二个稍旧的后门组合,立即置入到主题/插件的“functions.php”文档中。殊不知,全部的这种商品自9月至今都遭受了危害。
Jetpack最开始的公示底端给予了受进攻危害的主题和版本的详细目录及其补丁包情况。
科学研究工作员表明,受影响的用户应当更新到固定不动版本(如果有得话)——要是没有可以用的安全性版本,她们可以用WordPress.org的全新版本更换它。
“一定要注意,这不容易从您的体系中删掉后门,因而您必须重装整洁版本的WordPress以修复在安裝后门期内对关键文档所做的改动,”该网站填补道。
WordPress:一个趣味的总体目标&风险性核心
NTT Application Security的检验科学研究高級负责人Zach Jones强调,WordPress插件和主题依然遭受系统漏洞的困惑——这种现象在某种意义上早已渗透到了生态体系。
他告知Threatpost:“WordPress以及生态体系来源于一场DIY网站健身运动,它的开放式很高且便于浏览。”“所有人都能够撰写一个WordPress插件并与全球共享。WordPress以及最底层语言表达PHP通常是很多具备创新精神和实干精神的创业人进到Web技术性的进口点,这对生态体系而言是一个福利,但对其安全系数则是一个挑戰。WordPress就是我初期技术专业开发设计网站工作中的一部分,并且我本人建立了(幸亏沒有公布)WordPress插件,过后来看,这种插件充满了系统漏洞。”
nVisium的高級软件工程师Yehuda Rosen强调,实际上,WordPress全球的开源系统特性早已吸引住了很多具备不一样水平安全性专业技能的开发者。
“所有人都能够建立和提交自身的插件、主题等——而不用具有新手入门资质或工作经验。”他告知Threatpost。“如今所有人都能够从WordPress.org免费下载超出55,000个插件,及其9,000好几个主题——绝大部分是由对安全性最佳实践经验不足的编号工作人员撰写的。”
他填补说:“因而,潜在性的易受攻击的编码被布署到很多网站,这也促使WordPress生态体系变成潜在性网络攻击十分迷人的总体目标。”
这也代表着,假如专业的网络攻击寻找WordPress插件中的系统漏洞,她们几乎一定会在WordPress插件中发觉系统漏洞。
“因而,即使仅有10%的插件存有安全隐患,真正的数据也有可能会特别大,由于有数千个易受攻击的主题,”Rosen说。“开源系统的特性,及其很多的布署,几乎确保了安全隐患可能许多。”
即使如此,WordPress仍被指出为超出40%的网站给予适用,累计数亿个网站。罗森强调,它的区域事实上拓宽得更长远。
“WordPress不仅是一个博客软件。Automattic——WordPress身后的企业——很多年来一直在静静地接手大量的互联网行业,”他说道。“包含垃圾短信防止(Akismet)、移动电商(WooCommerce)、社交媒体(BuddyPress),乃至大量看起来任意的行业,如招骋(WPJobBoard)或播客(Pocket Casts)。以上全部特性全是以WordPress为主导建立的,有些人称其为互联网技术上最重要的项目管理。”
在这类经营规模下,保证全部基本设备的安全性好像是压根办不成的。Vulcan Cyber的创始人兼首席技术官Roy Horev强调,每一个网站管理人员都应当加入进去,保证实行安全性基本知识。
“一切运作WordPress的人都应当了解要立即开展她们的安全补丁,”他告知Threatpost。“每每一项技术性像WordPress一样普遍现象时,它就会变成网络黑客的受欢迎总体目标,由于她们了解一定会有一些管理人员沒有按时开展WordPress插件的升级。大家提议最少一个季度对WordPress以及插件开展一次网络安全审计,并在新的安全性版本可以用时承担责任地更新软件。”
NTT的鲍比填补说:“从公司应用或WordPress 视角看来,这儿的一个主要的问题是很多机构沒有为更新WordPress做需要的勤奋,城市广场安全系数层面。在挑选应用一切架构或第三方软件(如插件)时,务必细心调研,以确定引入的附加风险性做为高效的总体应用软件安全计划的一部分是已经知道和可控性的。”
文中翻譯自:https://threatpost.com/adsanity-accesspress-plugins-wordpress-sites-takeover/177932/倘若转截,请标明原文详细地址。