行业新闻与博客

修订谁使用网络管理者的 WordPress 插件 Adning 广告敦促修补针对据称被在野外利用的严重漏洞。

利用此漏洞，未经身份验证的攻击者可以上传任意文件，从而导致远程执行代码（RCE）并可能完全取代站点。

这就是缺陷的严重性，MITRE 为它分配了最高的 CVSS 分数-10.0。

Wordfence（一种流行的 WordPress 安全解决方案）的研究人员在 6月24日收到有关受感染网站的报告后，还发现了该插件中的严重性高，未经身份验证的路径遍历漏洞。

Adning 广告公司以前是 WP PRO 广告系统，是横幅广告管理器，为安装支付了 8,000 多笔费用。

开发

Wordfence 威胁分析师 Ram Gall  在 7月8日的博客文章中说，为保护 Wordfence 客户而设置的防火墙规则阻止了旨在利用该缺陷的攻击，但是这些攻击“在范围和规模上都受到了极大限制” 。

“因此，我们在短时间内不公开任何细节，以使用户有时间更新并防止更广泛的利用。”

Ram Gall 告诉 The Daily Swig，“截至 2020年7月10日，我们有 24％的使用 Adning 插件的客户已升级到补丁版本。

“在检查了我们的数据之后，似乎第一次记录到的攻击是在 6月13日。尽管我们预先存在的防火墙规则阻止了大多数攻击形式，但还是有可能绕过，因此我们创建了一条新规则来阻止利用。”

盖尔说，截至 7月7日，Wordfence“已经对 44 个站点进行了攻击”。仅 7月7日，针对该漏洞的攻击就受到 985 Wordfence 保护。

研究人员继续说道：“在这一点上，我们确定提供更多细节不可能增加剥削。” “自从我们的文章发表以来，我们已经看到对 354 个站点的攻击”（7月8日）。

RCE 严重缺陷

之所以会出现 RCE 漏洞，是因为横幅图片是通过 Ajax（异步 JavaScript 和 xml）操作_ning_upload_image 上载的，该操作带有 nopriv_钩子，该站点的任何访问者都可以在不登录的情况下使用。

由于用户可以提供“允许的”文件类型，“未经身份验证的攻击者有可能通过将 POST 请求发送到 wp-admin / admin-ajax.php 并将操作参数设置为_ning_upload_image 的 allowed_file_types 设置为 PHP 来上传恶意代码，以及包含恶意 PHP 文件的文件参数。” Gall 解释道。

“或者，攻击者可以将 allowed_file_types 设置为 zip，然后上传包含恶意 PHP 文件的压缩存档，上传后将被解压缩。攻击者还可以通过操纵 upload 参数的内容来更改上传目录。”

路径遍历

还涉及使用 nopriv_钩子（_ning_remove_image）的 Ajax 操作的注册-用户删除上传的图像时会生成路径遍历缺陷。

“如果攻击者能够删除 wp-config.php，则站点将被重置，然后攻击者可以再次对其进行设置并将其指向受其控制的远程数据库，从而用自己的内容有效地替换了站点的内容， ”加尔说。

与这两个缺陷相关的 Ajax 操作均无法运行功能或随机数检查。

时间线

发现漏洞后的第二天，Wordfence 于 6月25日将漏洞通知了插件的开发人员 Tunafish。

盖尔说：“特别感谢金枪鱼。”他在不到 24 小时的时间内发布了补丁版本。

受影响的版本包括 1.5.5 及更低版本。

Gall 说：“我们强烈建议立即更新到此插件的最新版本 1.5.6。”

本文由机器译制