Вебсайты на WordPress уязвимы для DOS-атаки с одной машины (CVE-2018-6389)

ВАЖНО :Использование данной уязвимости незаконно!

В CMS WordPress обнаружили простую, но довольно-таки серьезную уязвимость, связанную с атакой типа DoS, которая позволит абсолютно любому юзеру привести web-сайт на WordPress в нерабочее состояние при помощи всего одной машины.
Т.к. WordPress Foundation отказались от исправления проблемы, она остается без патча и затрагивает практически все версии WordPress за последние 9 лет, включая версию WordPress 4.9.2.

Израильский исследователь в области безопасности, Barak Tawily, обнаружил данную уязвимость, которая заключается в том, что «load-scripts.php», встроенный скрипт в CMS WordPress, обрабатывает еще и пользовательские запросы.

По задумке разрабов, файл load-scripts.php предназначен для админов и создан, что бы повысить скорость загрузки и производительность, объединив несколько JacaScript файлов в один запрос.

Чтобы «load-scripts.php» мог работать на странице входа админа до входа в админ-панель, создатели WordPress не предусмотрели механизм аутентификации, что и дает в результате доступ к функции всем пользователям

load-scripts

В зависимости от того, какие модули или плагины вы установили, файл load-scripts.php вызывает необходимые файлы JavaScript и передает их наименования в параметр «load» разделяя их запятой

Когда сайт загружается «load-scripts.php» ищет каждое имя JS- файла, которое указано в URL, все собирает в один файл и отправляет в браузер пользователю.

Как работает DoS атака на вордпресс
wordpress-dos-attack-tool

По словам Barak Tawily с помощью load-scripts.php можно вызвать все JavaScript-файлы которые возможно (181 скрипт) за один раз, передав их имена в url (пример на картинке). Это замедлит работу сайта, из-за высоких затрат со стороны процессора и памяти сервера.

«Существует четко определенный список ($ wp_scripts), который может быть запрошен пользователями как часть параметра load []. Если запрошенное значение существует, сервер выполнит необходимые операции чтения ввода-вывода», — говорит Tawily.

Конечно одного запроса будет недостаточно, чтобы «завалить» сайт, поэтому Tawily использовал сценарий написанный на python для создания PoC. Он создал doser.ру, который делает большое кол-во запросов одновременно, на один url используя как можно больше CPU сервера.

Таким образом, с несколькими ботами можно обрушить сайт на WordPress, используя данную уязвимость.

DoS атака в действии

Tawily сообщил о данной уязвимости разработчикам WordPress через платформу HackerOne, но компания не признала данную проблему и заявила, что эта ошибка вне контроля  WordPress.

Для тех, кто не может позволить себе услуги защиты от атак,  Tawily предложил пользователям WordPress forked version, в которой содержится фикс данной неуязвимости. Также, он предложил bash-сценарий, который исправит проблему в установленном WordPress

Источник

Подписывайтесь на наш канал в telegram и в соц. сетях, чтобы ничего не пропустить 😉

Оставьте ответ

comment-avatar

*