WordPress設計bug+WooCommerce漏洞導致網站存在被劫持風險

weixin_33866037發表於2018-11-08

WordPress許可權系統外掛的設計缺陷和WooCommerce(流行電子商務外掛)中的檔案刪除漏洞可允許攻擊者獲得對WordPress網站的完全控制權。

Automattic公司推出的WooCommerce是一個很受歡迎的WordPress外掛,它可以新增電子商務功能,這樣網站所有者就可以擁有自己的商店。根據WordPress.org的WooCommerce外掛頁面可以看到,這個外掛有超過400萬的活躍安裝量。


9932774-c5ed4dab3589d3a9.jpg
WooCommerce外掛頁面

當安裝使用不同使用者角色的WordPress外掛時,正在執行的是WordPress許可權系統,而不是建立自己的身份驗證系統。外掛通過建立分配了不同WordPress功能的新角色來實現此目的,然後利用外掛功能來限制這些角色與WordPress中的其他使用者或設定的互動方式。

根據PHP安全公司RIPS Tech的研究員Simon Scannell的最新研究,當安裝WooCommerce時,它將建立一個具有“edit_users”WordPress功能/許可權的Shop

Manager角色。此功能允許使用者編輯任何WordPress使用者,包括管理員帳戶。

通過下面的WooCommerce外掛可以檢視Shop Manager角色的許可權。


9932774-2ab061bc594b49c0.png

由於網站所有者顯然不希望外掛的使用者能夠編輯整個網站的管理員,因此WooCommerce建立了一個功能,可以阻止該角色的使用者編輯屬於管理員角色的使用者。

WordPress外掛/許可權系統的缺陷是:如果禁用WooCommerce外掛,Shop Manager編輯使用者的限制功能將不再可用,因此Shop Manager可以以管理員的身份編輯使用者但是,禁用外掛的唯一方法是使用管理員帳戶或刪除與外掛關聯的檔案。這是RIPS Tech發現的檔案刪除漏洞發揮作用的地方。

使用RIPS程式碼分析軟體,Scannell能夠在WooCommerce 3.4.5及更早版本中發現檔案刪除漏洞。此漏洞存在於Shop Manager可以訪問的外掛日誌刪除功能中。

使用此漏洞,Shop Manager角色中的使用者可以通過新增傳遞的引數來逃避預期資料夾。

例如,要刪除主外掛檔案,他們可以將以下引數傳遞給日誌刪除功能,這將刪除“wp-content/wc-logs/../../ plugins/woocommerce-3.4.5/woocommerce .php“檔案。

現在該檔案已被刪除,該外掛無法再載入,然後將被WordPress禁用。禁用外掛後,Shop Manager現在具有編輯任何使用者的完全訪問許可權,包括管理員帳戶。一旦管理員帳戶被接管,攻擊者就可以完全訪問該站點。

不過,該漏洞確實說明了如何利用外掛的許可權系統,通過使用通常不允許站點接管的漏洞。這個漏洞是在10月11日的WooCommerce版本3.4.6中修復的。雖然WordPress可以被配置成自動更新所有外掛,Scannel告訴BleepingComputer,預設情況下這是不啟用的,因此許多使用者可能仍然在執行較老的WooCommerce外掛的脆弱版本。因此,重要的是所有使用者都要檢查已安裝的外掛的版本,如果它比3.4.6版本舊,升級到最新版本。BleepingComputer已經聯絡了Automattic詢問關於這個漏洞的問題,但在本文發表時還沒有得到回覆。

值得注意的是,想要成功利用此漏洞,攻擊者需要訪問具有Shop manager角色的使用者帳戶。所以它必須在內部工作或以其他方式獲得Shop Manager憑證,比如XSS漏洞或者網路釣魚攻擊。

漏洞已於10月11日在WooCommerce版本3.4.6中修復。雖然可以將WordPress配置為自動更新所有外掛,但Scannel告訴媒體自動更新功能預設情況下沒有被啟用,因此許多使用者可能仍在執行WooCommerce外掛的易受攻擊版本。因此,所有使用者都必須檢查已安裝外掛的版本,如果其版本低於3.4.6版,請儘快升級到最新版本。

相關文章