All in One SEO插件漏洞威脅三百萬(wàn)網(wǎng)站的安全

星辰大海
研究人員認(rèn)為,網(wǎng)站的所有者需要對(duì)第三方插件和框架保持警惕,并保持安全更新,他們應(yīng)該使用網(wǎng)絡(luò)應(yīng)用程序防火墻來(lái)保護(hù)他們的網(wǎng)站,以及使用可以發(fā)現(xiàn)他們網(wǎng)站上存在惡意代碼的解決方案。

一個(gè)名為All in One SEO的非常流行的WordPress SEO優(yōu)化插件含有一對(duì)安全漏洞,當(dāng)這些漏洞組合成一個(gè)漏洞鏈進(jìn)行利用時(shí),可能會(huì)使網(wǎng)站面臨著被接管的風(fēng)險(xiǎn)。有超過(guò)300萬(wàn)個(gè)網(wǎng)站在使用該插件。

據(jù)Sucuri的研究人員稱(chēng),那些擁有網(wǎng)站賬戶(hù)的攻擊者如訂閱者、購(gòu)物賬戶(hù)持有人或會(huì)員可以利用這些漏洞,這些漏洞包括一個(gè)權(quán)限提升漏洞和一個(gè)SQL注入漏洞。

研究人員在周三的一篇帖子中說(shuō),WordPress網(wǎng)站會(huì)默認(rèn)允許網(wǎng)絡(luò)上的任何用戶(hù)創(chuàng)建一個(gè)賬戶(hù),在默認(rèn)情況下,新賬戶(hù)除了能夠?qū)懺u(píng)論外沒(méi)有任何特權(quán)。然而,由于某些漏洞的出現(xiàn),如剛剛發(fā)現(xiàn)的漏洞,則允許這些訂閱用戶(hù)擁有比他們?cè)ㄓ?jì)劃多得多的特權(quán)。

Sucuri表示,這對(duì)漏洞已經(jīng)很成熟了,很容易被利用,所以用戶(hù)應(yīng)該升級(jí)到已打補(bǔ)丁的版本,即4.1.5.3版。一般認(rèn)為是Automattic的安全研究員Marc Montpas發(fā)現(xiàn)了這些漏洞。

特權(quán)提升和SQL注入漏洞

在這兩個(gè)漏洞中更為嚴(yán)重的是特權(quán)提升漏洞,它影響到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞嚴(yán)重程度表上,它的嚴(yán)重程度為9.9(滿(mǎn)分10分),因?yàn)樗鼧O易被犯罪分子進(jìn)行利用,而且還可以用來(lái)在網(wǎng)絡(luò)服務(wù)器上建立一個(gè)后門(mén)。

Sucuri的研究人員解釋說(shuō),該漏洞可以簡(jiǎn)單地將請(qǐng)求中的一個(gè)單字符改為大寫(xiě)字母而進(jìn)行利用。

從本質(zhì)上講,該插件可以向各種REST API端點(diǎn)發(fā)送命令,并進(jìn)行權(quán)限檢查,確保沒(méi)有人在做越權(quán)的事情。然而,REST API路由是大小寫(xiě)敏感的,所以攻擊者只需要改變一個(gè)字符的大小寫(xiě)就可以繞過(guò)認(rèn)證檢查。

Sucuri研究人員說(shuō):"當(dāng)漏洞被利用時(shí),這個(gè)漏洞就可以對(duì)WordPress文件結(jié)構(gòu)中的某些文件進(jìn)行覆蓋,從而允許任何攻擊者來(lái)對(duì)后門(mén)進(jìn)行訪(fǎng)問(wèn)。從而允許攻擊者接管網(wǎng)站,并可以將賬戶(hù)的權(quán)限提升為管理員。"

第二個(gè)漏洞的嚴(yán)重性CVSS評(píng)分為7.7,影響All in One SEO的4.1.3.1和4.1.5.2版本。

具體來(lái)說(shuō),漏洞出現(xiàn)在一個(gè)名為"/wp-json/aioseo/v1/objects"的API端點(diǎn)。Sucuri表示,如果攻擊者利用之前的漏洞將他們的權(quán)限提升到管理員級(jí)別,他們將獲得訪(fǎng)問(wèn)該端點(diǎn)的權(quán)限,并從那里向后端數(shù)據(jù)庫(kù)發(fā)送惡意的SQL命令,檢索用戶(hù)憑證、管理信息和其他敏感數(shù)據(jù)。

研究人員說(shuō),為確保安全,All in One SEO的用戶(hù)應(yīng)該將軟件及時(shí)更新到已打過(guò)補(bǔ)丁的版本。其他防御性措施還包括:

1、審查系統(tǒng)中的管理員用戶(hù)并刪除任何可疑的用戶(hù)。

2、更改所有管理員賬戶(hù)的密碼,以及在管理員面板上添加額外的加固措施。

插件成為了黑客的攻擊目標(biāo)

研究人員指出,WordPress的插件現(xiàn)在仍然是網(wǎng)絡(luò)攻擊者破壞網(wǎng)站的一個(gè)重要的途徑。例如,12月早些時(shí)候,在針對(duì)160多萬(wàn)個(gè)WordPress網(wǎng)站的主動(dòng)攻擊中,研究人員發(fā)現(xiàn)有數(shù)千萬(wàn)次嘗試?yán)盟膫€(gè)不同的插件和幾個(gè)Epsilon框架主題的攻擊。

研究人員說(shuō):"WordPress插件仍然是所有網(wǎng)絡(luò)應(yīng)用的一個(gè)主要風(fēng)險(xiǎn),它們?nèi)匀皇枪粽叩某R?guī)攻擊目標(biāo)。通過(guò)第三方插件和框架所引入的惡意代碼可以極大地?cái)U(kuò)展網(wǎng)站的攻擊面"。

這一警告是在新的漏洞不斷出現(xiàn)的情況下發(fā)出的。例如,本月早些時(shí)候,安裝在8萬(wàn)個(gè)由WordPress驅(qū)動(dòng)的零售網(wǎng)站上的插件"Variation Swatches for WooCommerce"被發(fā)現(xiàn)含有一個(gè)存儲(chǔ)的跨站腳本(XSS)安全漏洞,它可能會(huì)允許網(wǎng)絡(luò)攻擊者注入惡意的網(wǎng)絡(luò)腳本并接管網(wǎng)站。

10月,研究人員發(fā)現(xiàn),一個(gè)安裝量超過(guò)6萬(wàn)的WordPress插件Post Grid存在兩個(gè)高危漏洞,這使得網(wǎng)站非常容易被攻擊者接管。而且,在Post Grid的姐妹插件Team Showcase中也發(fā)現(xiàn)了幾乎相同的漏洞,該插件有6000個(gè)安裝量。

同樣在10月,在Hashthemes Demo Importer的產(chǎn)品中發(fā)現(xiàn)了一個(gè)WordPress插件漏洞,它允許擁有訂閱者權(quán)限的用戶(hù)刪除網(wǎng)站的所有內(nèi)容。

研究人員認(rèn)為,網(wǎng)站的所有者需要對(duì)第三方插件和框架保持警惕,并保持安全更新,他們應(yīng)該使用網(wǎng)絡(luò)應(yīng)用程序防火墻來(lái)保護(hù)他們的網(wǎng)站,以及使用可以發(fā)現(xiàn)他們網(wǎng)站上存在惡意代碼的解決方案。

本文翻譯自:https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論