Vì công ty đã phủ nhận vấn đề này nên lỗ hổng bảo mật ( CVE-2018-6389 ) vẫn chưa được khắc phục và ảnh hưởng đến hầu hết các phiên bản của WordPress được phát hành trong 9 năm qua, bao gồm bản phát hành mới nhất của WordPress (Phiên bản 4.9.2).
Được phát hiện bởi nhà nghiên cứu bảo mật Israel Barak Tawily , lỗ hổng nằm trong " load-scripts.php ", một kịch bản được xây dựng trong WordPress CMS, xử lý các yêu cầu do người dùng định nghĩa.
Đối với những tệp tin load-scripts.php không được biết đến, chỉ những người dùng quản trị mới có thể giúp trang web cải thiện hiệu suất và tải trang nhanh hơn bằng cách kết hợp (trên máy chủ) nhiều tệp JavaScript vào một yêu cầu.
Tuy nhiên, để làm cho "load-scripts.php" hoạt động trên trang đăng nhập quản trị (wp-login.php) trước khi đăng nhập, các tác giả WordPress đã không giữ bất kỳ chứng thực nào, cuối cùng làm cho tính năng này có thể truy cập được tới bất cứ ai.
Tùy thuộc vào các plugin và mô-đun bạn đã cài đặt, tệp load-scripts.php chọn lọc các cuộc gọi yêu cầu tệp JavaScript bằng cách chuyển tên của chúng vào tham số "tải", được phân cách bằng dấu phẩy, như trong URL sau:
https://your-wordpress-site.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-galleryTrong khi tải trang web, 'load-scripts.php' (đã đề cập ở đầu trang) cố gắng tìm từng tên tệp JavaScript được đưa ra trong URL, nối nội dung của họ vào một tệp và sau đó gửi lại cho web của người dùng trình duyệt.
Cách hoạt động của WordPress DoS Attack
Theo một nhà nghiên cứu, người ta chỉ đơn giản có thể buộc load-scripts.php gọi tất cả các file JavaScript có khả năng (tức là 181 script) trong một lần bằng cách đưa tên của họ vào URL ở trên, làm cho trang web được nhắm mục tiêu chậm lại do tốn nhiều CPU và máy chủ ký ức.
"Có một danh sách được xác định rõ ($ wp_scripts), có thể yêu cầu bởi người dùng như là một phần của tham số load [] Nếu giá trị được yêu cầu tồn tại, máy chủ sẽ thực hiện hành động đọc I / O cho một đường dẫn được xác định rõ gắn liền với giá trị được cung cấp từ người sử dụng ", Tawily nói.Mặc dù một yêu cầu duy nhất không đủ để hạ toàn bộ trang web cho khách truy cập của nó, Tawily đã sử dụng một kịch bản lệnh python-proof-of-concept (PoC), doser.py, tạo ra một số lượng lớn các yêu cầu đồng thời tới cùng một URL trong một nỗ lực để sử dụng càng nhiều các máy chủ mục tiêu tài nguyên CPU càng tốt và mang nó xuống.
The Hacker News đã xác minh tính xác thực của khai thác DoS đã lấy đi một trong những trang web WordPress demo của chúng tôi chạy trên một máy chủ VPS cỡ trung.
"Đã đến lúc phải đề cập lại rằng load-scripts.php không đòi hỏi bất kỳ chứng thực nào, một người dùng ẩn danh có thể làm như vậy. Sau ~ 500 yêu cầu, máy chủ không trả lời nữa, hoặc trả về trạng thái 502/503/504 lỗi mã ", Tawily nói.Tuy nhiên, tấn công từ một máy duy nhất, với một số kết nối 40 Mbps, không đủ để đưa một trang demo khác chạy trên một máy chủ chuyên dụng với sức mạnh xử lý cao và bộ nhớ.
Nhưng điều đó không có nghĩa là lỗ hổng này không có hiệu quả đối với các trang web WordPress đang chạy trên một máy chủ nặng vì cuộc tấn công cấp độ ứng dụng đòi hỏi phải có ít gói tin và băng thông để đạt được mục tiêu tương tự - để chiếm một trang web.
Vì vậy, kẻ tấn công với băng thông nhiều hơn hoặc một vài chương trình có thể khai thác lỗ hổng này để nhắm mục tiêu vào các trang web WordPress lớn và phổ biến dễ dàng.
Chưa có Bản vá lổ hổng - Hướng dẫn ngăn chặn để giảm thiểu bị tấn công
Cùng với việc tiết lộ đầy đủ, Tawily cũng đã cung cấp một cuộc trình diễn bằng video cho cuộc tấn công WordPress Denial of Service. Bạn có thể xem video để xem cuộc tấn công đang hoạt động.
Biết rằng các lỗ hổng của DoS nằm ngoài phạm vi từ chương trình WordPress bug bounty, Tawily có trách nhiệm báo cáo lỗ hổng DoS này cho nhóm WordPress thông qua nền HackerOne.
Tuy nhiên, công ty từ chối thừa nhận vấn đề này, nói rằng loại lỗi này "thực sự cần được giảm thiểu ở cấp máy chủ hay cấp độ mạng hơn là mức ứng dụng", điều này nằm ngoài sự kiểm soát của WordPress.
Lỗ hổng này khá nghiêm trọng vì WordPress đang chiếm gần 29 phần trăm Web, khiến hàng triệu trang web dễ bị tấn công bởi tin tặc và làm ảnh hưởng đến các người dùng truy cập.
Đối với các trang web không có sử dụng các dịch vụ bảo vệ DDoS chống lại các cuộc tấn công lớp ứng dụng, nhà nghiên cứu đã cung cấp một phiên bản forked của WordPress , bao gồm việc giảm thiểu nguy cơ này.
Tuy nhiên, người dùng không nên cài đặt CMS đã sửa đổi, ngay cả khi nó là từ một nguồn đáng tin cậy.
Bên cạnh đó, nhà nghiên cứu cũng đã phát hành một tập lệnh bash đơn giản để khắc phục sự cố, trong trường hợp bạn đã cài đặt WordPress.
