WordPress内容管理系统(CMS)本周让管理员头疼,这主要是由于该平台两个完全不同的附加组件的安全问题。第一个问题影响WordPressAdSanity插件。这是一个严重的安全漏洞,可能允许远程代码执行(RCE)和整个站点接管。第二个问题涉及典型的供应链攻击,其中网络犯罪分子破坏了40个主题和53个属于AccessPress主题的插件,以便将webshel??l注入其中。因此,任何安装了受感染插件之一的网站也将对RCE和完全接管开放。AdSanity插件允许RCEAdSanity是WordPress的轻量级广告轮播插件。它允许用户创建和管理网站上显示的广告,并通过集中式仪表板记录浏览量和点击量。NinjaTechnologiesNetwork的研究人员表示,该漏洞在CVSS漏洞严重等级中的评分约为9.9(满分10),“可能允许低权限用户执行任意文件上传、远程代码执行和存储跨站点脚本攻击。”他们在周二的帖子中解释说,该漏洞尚未分配CVE,是由于违反访问控制而引起的。当用户在网站上放置广告时,他们会上传包含材料的.ZIP文件。该过程使用“adsanity/views/html5-upload.php”脚本中的ajax_upload函数进行管理。根据NinTechNet的说法:“此功能用于将.ZIP存档的内容上传和提取到‘wp-content/uploads/adsanity/{post_id}/’文件夹中。”或以上,通过简单检查以确保存档中有index.html文件。”在WordPress中,Contributor角色的权限仅限于三项任务——阅读所有帖子,以及删除或编辑自己的帖子。贡献者不能发布新帖子或上传媒体文件,因此这些权限通常分配给内容创建者、自由职业者和在公司网站上闲逛的其他人的一次性或有限角色。但是,由于该漏洞,恶意贡献者可以通过AdSanity插件获得对网站后端的完全访问权限。研究人员指出,只需将index.php脚本添加到要上传的.ZIP存档中即可实现利用。“它的代码将由iframe而不是index.html文件加载,并在用户每次访问后端的广告管理器时在metabox内执行,”他们解释道。“如果博客有一个.htaccess文件来阻止文件夹中的/uploads/文件PHP代码执行,攻击者可以通过上传另一个.htaccess[file]轻松地覆盖这种保护。”他们补充说,“此外,攻击者可以上传带有JavaScript代码的文件,可用于定位审查帖子的管理员。”NinTechNet警告说,该错误已在1.8.2版中修复,但网站所有者仍应在更新后审查用户权限和对插件的访问。“新版本不允许Contributor用户上传文件,但它仍然允许Author+用户上传,所以如果你的博客上注册了Author用户,你可能需要格外小心,”研究人员解释道。AccessThemes后门与此同时,Jetpack的安全研究人员在对受感染网站进行取证时,偶然发现了AccessPressThemes的后门主题,该主题允许远程攻击者执行代码。Jetpack研究人员深入研究了该公司的库,并很快发现,当涉及到免费产品时,“所有主题和大多数插件……都注入了后门”,这将使攻击者能够完全控制任何受到其中一种攻击的网站安装插件。AccessPressThemes提供了几个免费和付费的主题和插件,您可以使用它们来自定义您的WordPress驱动的网站——根据其网站,共有64个主题和109个插件,总计360,000次安装。不幸的是,根据Jetpack上周发布的一份咨询报告,该问题似乎仍在继续:“大多数插件已更新”,“但是,受影响的主题尚未更新并已从WordPress.org主题存储库中删除。值得注意到该漏洞会影响直接从开发人员网站下载的产品;研究人员指出,任何直接从WordPress.org下载的AccessPress主题产品都是无毒的。“initial.php”文件位于主插件或主题目录中。“运行时,它会在‘wp-includes/vars.php’中安装一个基于cookie的webshel??l,”研究人员解释道。“外壳是安装在‘wp_is_mobile()’函数前面的一个函数,名称为‘wp_is_mobile_fix()’。这大概是为了避免任何随便查看‘vars.php’文件的人产生怀疑。”安装shell后,投放器会将远程图像加载到命令和控制(C2)服务器,其中包含受感染站点的URL及其使用的主题信息。然后,根据分析,它会删除释放器源文件以避免检测。C2可以通过发送带有用户代理字符串“wp_is_mobile”以及八个特定cookie的请求来激活webshel??l以执行代码。然后后门将这些提供的cookie拼凑在一起并执行有效负载。他们说,研究人员还发现了第二个稍旧的后门变体,直接嵌入到主题/插件的“functions.php”文件中。然而,所有这些产品自9月以来都受到了损害。Jetpack最初公告的底部提供了受攻击影响的主题和版本的完整列表,以及补丁状态。受影响的用户应该升级到固定版本(如果可用)——如果没有可用的安全版本,他们可以用WordPress.org的最新版本替换它,研究人员说。“请注意,这不会从您的系统中删除后门,因此您需要重新安装一个干净的WordPress版本以恢复在后门安装期间对核心文件所做的修改,”该网站补充道。WordPress:一个有趣的目标和风险NTT应用程序安全中心检测研究高级主管ZachJones指出,WordPress插件和主题仍然受到漏洞的困扰——这些漏洞在某种程度上已经融入了生态系统。“WordPress及其生态系统源于非常开放且易于访问的DIY网站运动,”他告诉Threatpost。“任何人都可以编写WordPress插件并与世界分享。WordPress及其底层语言PHP通常是许多富有冒险精神和创业精神的企业家进入网络技术的切入点,这对生态系统来说是一个福音,但对其安全性提出了挑战.WordPress是我早期专业开发网站工作的一部分,我亲自创建(谢天谢地没有发布)WordPress插件,事后看来,这些插件充满了错误。”nVisium高级软件工程师YehudaRosen指出,事实上,WordPress世界的开源性质吸引了大量具有不同程度安全技能的人。开发商。“任何人都可以创建和上传自己的插件、主题等——无需任何资格或经验即可开始,”他告诉Threatpost。“现在任何人都可以从WordPress.org下载超过55,000个插件和超过9,000个主题——其中绝大多数是由缺乏安全最佳实践经验的编码人员编写的。”他补充说:“因此,潜在的漏洞代码被部署到大量网站,使WordPress生态系统成为潜在攻击者非常有吸引力的目标。”这也意味着,如果专门的攻击者在WordPress插件中寻找漏洞,他们几乎肯定会在WordPress插件中找到漏洞。“因此,即使只有10%的插件存在安全问题,实际数量也可能非常大,因为有成千上万个易受攻击的主题,”罗森说。“开源性质和部署的绝对数量几乎可以保证安全问题会很多。”即便如此,人们认为WordPress为超过40%的网站提供支持,总计数亿个网站。罗森指出,它的影响范围实际上延伸得更远。“WordPress不仅仅是博客软件。Automattic——WordPress背后的公司——多年来一直在悄悄接管更多的网络,”他说。“包括垃圾邮件预防(Akismet)、电子商务(WooCommerce)、社交网络(BuddyPress),以及更多看似随机的领域,如招聘(WPJobBoard)或播客(PocketCasts)。以上所有属性均由WordPress提供支持。Core,有些人称之为互联网上最重要的软件项目。”在这种规模下,保护所有基础设施似乎是不可能的。VulcanCyber??的联合创始人兼首席技术官RoyHorev指出,每个站点管理员都应该参与其中确保安全基础得到执行。“任何运行WordPress的人都应该知道保持他们的安全更新是最新的,”他告诉Threatpost。“只要一项技术像WordPress一样无处不在,它就会成为黑客的热门目标,因为他们知道有必然是不保持WordPress插件更新的管理员。我们建议至少每季度更新一次WordPress及其插件安全审计,并在新的安全版本可用时负责任地更新软件。”NTT的琼斯补充说:“从企业使用或WordPress的角度来看,这里的一个重要问题是许多组织没有这样做升级WordPress的必要步骤。努力,尤其是在安全方面。在选择使用任何框架或第三方软件(如插件)时,必须仔细调查以确认作为有效的整体应用程序安全计划的一部分引入的额外风险是已知和可控的。》本文翻译自:https://threatpost.com/adsanity-accesspress-plugins-wordpress-sites-takeover/177932/如有转载请注明出处。
