محققان با آسیبپذیری ۶ ساله جعل درخواست سمت سرور کور (SSRF) در یکی از ویژگیهای هسته وردپرس که میتواند حملات انکار سرویس توزیع شده (DDoS) را فعال کند، عمومی شدهاند.
در یک پست وبلاگی که این هفته (6 سپتامبر) منتشر شد، محققان Sonar چگونگی سوء استفاده از یک آسیبپذیری در ویژگی درخواستهای پینگبک در وردپرس را توضیح دادند. این آسیب پذیری برای اولین بار در سال 2017 ظاهر شد، اما هنوز اصلاح نشده است.
خرید سرور مجازی گیم مجهز به فایروال اختصاصی
درخواستهای پینگبک به نویسندگان وردپرس اجازه میدهد تا زمانی که وبسایت دیگری به وبلاگ آنها لینک میشود، مطلع شوند. عملکرد پینگ بک در XMLRPC API نمایش داده می شود که از طریق فایل xmlrpc.php قابل دسترسی است. با استفاده از این روش، وبلاگ های دیگر می توانند پینگ بک را اعلام کنند.
محققان Sonar توضیح دادند که این ویژگی میتواند مهاجمان را قادر به انجام حملات DDoS با درخواست مخربانه از هزاران وبلاگ برای بررسی پینگبک روی یک سرور قربانی کند. اگرچه پینگبکها را میتوان از طریق یک چک باکس خاموش کرد، اما همچنان به طور پیشفرض در نمونههای وردپرس فعال هستند.
شایان ذکر است، محققان خاطرنشان کردند که آنها «نمیتوانند به طور کلی راههایی را برای استفاده از این رفتار برای کنترل نمونههای آسیبپذیر بدون اتکا به سایر خدمات آسیبپذیر شناسایی کنند». در عوض، باگ می تواند بهره برداری از آسیب پذیری های دیگر در شبکه داخلی سازمان آسیب دیده را کاهش دهد.
Thomas Chauchefoin، محقق آسیبپذیری در Sonar و نویسنده وبلاگ، به The Daily Swig گفت: ” در سال 2012، خطرات مربوط به ویژگی pingback مشخص شد. و نگهبانان وردپرس محدودیت هایی را برای مقصد چنین درخواست هایی معرفی کردند: آنها به مجموعه محدودی از پورت ها، فقط آدرس های IP عمومی و غیره محدود می شوند. “
” در اصل، یافتههای ما امکان دور زدن برخی از این محدودیتها و هدف قرار دادن میزبانها از شبکه محلی را میدهد. مهاجمان می توانند از آن برای ارسال درخواست ها به میزبان هایی استفاده کنند که در غیر این صورت قابل دسترسی نبودند، به عنوان مثال، برای سوء استفاده از یک آسیب پذیری در سرویس های داخلی. “
وی افزود: "این باگ در اصل و نسب اکثر CVE های مربوط به پینگ بک ها قرار دارد، اما قدیمی ترین شاخص یک محقق که چگونگی دور زدن این محدودیت خاص را مستند کرده است مربوط به سال 2017 است."
محققان SonarSource این مشکل را در 21 ژانویه به وردپرس فاش کردند. طبق گفته Sonar، که در ژانویه 2017 به تیم وردپرس گزارش شد، به عنوان یک باگ تکراری تایید شد.
Chauchefoin اضافه کرد: «ما این آسیبپذیری را در 21 ژانویه از طریق کانالهای رسمی گزارش کردیم، با یک سیاست استاندارد افشای 90 روزه. پس از موافقت با یک دوره تمدید 30 روزه، اولین وصلهای را که هنوز منتظر ادغام در بالادست بود، بررسی کردیم. انتشار ما 228 پس از گزارش اولیه ما رخ می دهد.
یکی از سخنگویان تیم امنیتی وردپرس به The Daily Swig گفت: «همانطور که در پست وبلاگ Sonar مشخص شد، این یک مشکل کم تأثیر است و بهرهبرداری از آن نیازمند «[زنجیره کردن] آن به آسیبپذیریهای اضافی در نرمافزار شخص ثالث» است. "به این ترتیب، تیم امنیتی این موضوع را یک اولویت کم در نظر می گیرد."
آنها افزودند: "به دلیل شدت کم، تیم در حال بحث در مورد اینکه آیا می توان این مشکل را در ملاء عام به عنوان یک اقدام سخت گیری کلی برطرف کرد."
وردپرس به The Daily Swig گفت که بهره برداری از این باگ نیازمند «آسیب پذیری در چندین سیستم خارج از وردپرس» است، اما به صاحبان وب سایت ها توصیه می کند همیشه از سرورهای DNS ارائه شده توسط ارائه دهنده میزبان خود استفاده کنند.
هی اضافه کرد: "برای پینگ بک ها، کاربران می توانند پینگ بک ها را خاموش کنند. نقطه پایانی XMLRPC تنها در صورتی درخواستهای HTTP را انجام میدهد (به تفصیل در پست وبلاگ Sonar) در صورتی که پینگبکها برای پست در حال پینگ باز باشد.
"صاحبان وب سایت می توانند (الف) پینگ بک ها را با استفاده از قطعه کد ارائه شده در پست اصلی خاموش کنند و/یا (ب) پینگ بک را برای پست های وبلاگ خود خاموش کنند."
آسیب پذیری دیگری در ویژگی درخواست های پینگ بک که به حملات DDoS اجازه می داد توسط هسته وردپرس در سال 2012 رفع شد. محققان گزارش دادند که این مشکل که توسط Acunetix گزارش شده است، می تواند به طرق مختلف مورد سوء استفاده قرار گیرد و مدت کوتاهی پس از کشف "به عنوان یک بلیت سخت شدن عمومی" در نسخه Core وردپرس برطرف شد.
