Uma vulnerabilidade de negação de serviço (DoS) de nível de aplicativo simples e série foi descoberta na plataforma do WordPress CMS que poderia permitir que qualquer pessoa abaixasse a maioria dos sites do WordPress mesmo com uma única máquina - sem bater com uma enorme quantidade de largura de banda, conforme exigido na rede - ataques DDoS de nível para alcançar o mesmo.
Uma vez que a empresa negou corrigir o problema, a vulnerabilidade ( CVE-2018-6389 ) permanece sem precedentes e afeta quase todas as versões do WordPress lançadas nos últimos nove anos, incluindo a última versão estável do WordPress (Versão 4.9.2).
Descoberto pelo pesquisador de segurança israelense Barak Tawily , a vulnerabilidade reside na forma como " load-scripts.php", "um script interno no WordPress CMS, processa solicitações definidas pelo usuário.
Uma vez que a empresa negou corrigir o problema, a vulnerabilidade ( CVE-2018-6389 ) permanece sem precedentes e afeta quase todas as versões do WordPress lançadas nos últimos nove anos, incluindo a última versão estável do WordPress (Versão 4.9.2).
Descoberto pelo pesquisador de segurança israelense Barak Tawily , a vulnerabilidade reside na forma como " load-scripts.php", "um script interno no WordPress CMS, processa solicitações definidas pelo usuário.
Para aqueles que não sabem, o arquivo load-scripts.php foi projetado para que os usuários de administração ajudem um site a melhorar o desempenho e carregar a página mais rapidamente ao combinar (no servidor) vários arquivos JavaScript em uma única solicitação.
No entanto, para fazer o "load-scripts.php" funcionar na página de login do administrador (wp-login.php) antes do login, os autores do WordPress não mantiveram qualquer autenticação no lugar, tornando o recurso acessível a qualquer pessoa.
Dependendo dos plugins e módulos que você instalou, o arquivo load-scripts.php seletivamente chama arquivos JavaScript necessários passando seus nomes para o parâmetro "load", separados por uma vírgula, como no seguinte URL:
https://sua-wordpress-site.com/wp-admin/load-scripts.php?c=1&load= editor, comum, perfil de usuário, widgets de mídia, media-galleryAo carregar o site, o "load-scripts.php" (mencionado no cabeçalho da página) tenta encontrar cada nome de arquivo JavaScript fornecido no URL, anexar seu conteúdo em um único arquivo e depois enviá-lo para a web do usuário navegador.
Como o Ataque funciona?
De acordo com o pesquisador, pode-se simplesmente forçar o load-scripts.php a chamar todos os arquivos JavaScript possíveis (ou seja, 181 scripts) de uma vez passando seus nomes para o URL acima, tornando o site segmentado ligeiramente lento ao consumir CPU e servidor elevados memória.
"Existe uma lista bem definida ($ wp_scripts), que pode ser solicitada pelos usuários como parte do parâmetro load []. Se o valor solicitado existe, o servidor executará uma ação de leitura de E / S para um caminho bem definido associado ao valor fornecido pelo usuário ", diz Tawily.Embora um único pedido não seja suficiente para derrubar todo o site para seus visitantes, utilizou um script Python de prova de conceito (PoC), doer.py, o que faz um grande número de solicitações simultâneas para o mesmo URL em uma tentativa para usar o máximo possível de recursos de CPU dos servidores alvo e derrubá-lo.
O Hacker News verificou a autenticidade da exploração DoS que levou com êxito um dos nossos sites de demonstração WordPress executados em um servidor VPS de tamanho médio.
"É hora de mencionar novamente que o load-scripts.php não exige nenhuma autenticação, um usuário anônimo pode fazê-lo. Após ~ 500 solicitações, o servidor não respondeu mais ou retornou o status 502/503/504 erros de código ", diz Tawily.No entanto, o ataque de uma única máquina, com alguma conexão de 40 Mbps, não foi suficiente para derrubar outro site de demonstração rodando em um servidor dedicado com alto poder de processamento e memória.
Mas isso não significa que a falha não seja eficaz contra os sites do WordPress que funcionam em um servidor pesado, pois o ataque no nível da aplicação geralmente requer muito menos pacotes e largura de banda para alcançar o mesmo objetivo - tirar um site.
Então, os atacantes com mais largura de banda ou alguns bots podem explorar essa falha para segmentar sites grandes e populares da WordPress também.
Nenhum patch disponível - Guia de Mitigação
Juntamente com a divulgação completa, a Tawily também forneceu uma demonstração de vídeo para o ataque do WordPress Denial of Service. Você pode assistir o vídeo para ver o ataque em ação.Sabendo que as vulnerabilidades do DoS estão fora do escopo do programa de recompensas de inscrições do WordPress, relataram de forma responsável esta vulnerabilidade DoS à equipe do WordPress através da plataforma HackerOne.
No entanto, a empresa se recusou a reconhecer o problema, dizendo que esse tipo de bug "deveria realmente ser mitigado no final do servidor ou no nível da rede, em vez do nível do aplicativo", que está fora do controle do WordPress.
A vulnerabilidade parece ser séria porque o WordPress capacita quase 29% da Web, colocando milhões de sites vulneráveis a hackers e tornando-os indisponíveis para seus usuários legítimos.
Para sites que não podem pagar serviços que oferecem proteção DDoS contra ataques de camada de aplicativo, o pesquisador forneceu uma versão bifurcada do WordPress , que inclui mitigação contra essa vulnerabilidade.
No entanto, eu pessoalmente não recomendaria que os usuários instalassem o CMS modificado, mesmo que provenha de uma fonte confiável diferente do autor original.
Além disso, o pesquisador também lançou um simples script bash que corrige o problema, caso você já tenha instalado o WordPress.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário