wechatimg31

WordPress 自动更新服务器存漏洞,全球 27% 网站可被恶意更新

  • 浏览次数 14129
  • 喜欢 0
  • 评分 12345

WordPress 核心更新服务器存在漏洞,允许攻击者入侵服务器并替换更新内容,受影响站点将占全球网站的 27% 。该漏洞于 9 月 2 日提交给了 WordPress 开发方 Automattic ,Automattic 在 5 天后 9 月 7 日发布了更新修复了漏洞。漏洞存在于服务器 api.wordpress.org 内的 php webhook 中,它允许开发人员设置哈希算法来验证上传代码更新的合法性。然而 WordPress 开发人员 Matt Barry 发现该验证过程采用安全性较弱的 adler32 散列算法,这导致可能的排列组合由 43 亿个( 2 的 32 次方)大幅缩减至 10 万到 40 万个。攻击者只需要数个小时即可暴力破解,获得开发者用来上传代码时使用的共享密钥,从而获得服务器访问权。

api-normal

此后,攻击者可以制作一个含有后门的恶意更新下载链接,并替换 WordPress 更新服务器发送的用于更新的 URL 链接,该链接随即被推送到所有 WordPress 站点,因而,全球 27% 的网站都将受到影响。

Barry 称用于更新的 api.wordpress.org 服务是一个很可能被黑客利用的切入点,然而 Automattic 没有回应他提出的故障点讨论并更新认证机制的建议。这周在 OpenWall 安全邮件组讨论当中也有安全员提出了相似的攻击策略。

稿源:本站翻译整理,封面来源:百度搜索