chiunque attraverso un difetto di DoS potrebbe rimuovere un sito wordpress

chiunque attraverso un difetto di DoS potrebbe rimuovere un sito wordpress

chiunque attraverso un difetto di DoS potrebbe rimuovere un sito wordpress

È stata scoperta una vulnerabilità DoS (Denial of Service) nella piattaforma CMS di WordPress che potrebbe consentire a chiunque di rimuovere la maggior parte dei siti Web WordPress anche con un singolo computer, senza colpire con una grande quantità di larghezza di banda, come richiesto in rete -un livello di attacchi DDoS per ottenere lo stesso risultato.

La società ha negato la patch del problema, la vulnerabilità ( CVE-2018-6389 ) rimane non applicata e riguarda quasi tutte le versioni di WordPress rilasciate negli ultimi nove anni, inclusa l’ultima versione di WordPress (versione 4.9.2).

Scoperto dal ricercatore di sicurezza israeliano Barak Tawily , la vulnerabilità risiede nel modo in cui ” load-scripts.php”, “uno script integrato in WordPress CMS, elabora le richieste definite dall’utente.

Per chi ignora, il file load-scripts.php è stato progettato solo per gli utenti amministratori per aiutare un sito Web a migliorare le prestazioni e caricare più velocemente la pagina combinando (sul server) più file JavaScript in una singola richiesta.

Tuttavia, per far funzionare “load-scripts.php” nella pagina di login dell’amministratore (wp-login.php) prima di accedere, gli autori di WordPress non hanno mantenuto alcuna autenticazione in atto, rendendo la funzionalità accessibile a chiunque.

attacco wordpress dos

A seconda dei plugin e dei moduli installati, il file load-scripts.php richiama selettivamente i file JavaScript necessari passando il loro nome nel parametro “load”, separato da una virgola, come nel seguente URL:

https://your-wordpress-site.com/wp-admin/load-scripts.php?c=1&load= editor, comune, profilo utente, media-widget, media-gallery

Durante il caricamento del sito web, il “load-scripts.php” tenta di trovare ogni nome di file JavaScript fornito nell’URL, aggiungere il loro contenuto in un singolo file e quindi inviarlo al Web dell’utente browser.

Come funziona WordPress DoS Attack

wordpress-dos-attacco-tool

Secondo il ricercatore, si può semplicemente forzare load-scripts.php a chiamare tutti i possibili file JavaScript (ad esempio, 181 script) in un unico passaggio passando il loro nome nell’URL sopra, rendendo il sito Web targetato leggermente lento consumando CPU e server elevati memoria.

“Esiste un elenco ben definito ($ wp_scripts), che può essere richiesto dagli utenti come parte del parametro load []. Se il valore richiesto esiste, il server eseguirà un’azione di lettura I / O per un percorso ben definito associato al valore fornito dall’utente “, afferma Tawily.

Anche se una singola richiesta non sarebbe sufficiente per abbattere l’intero sito Web per i suoi visitatori, Tawily usò uno script python proof-of-concept (PoC), chiamato doser.py, che fa un gran numero di richieste simultanee allo stesso URL in un tentativo utilizzare la maggior parte delle risorse della CPU del server di destinazione e ridurla.

“È il momento di ricordare ancora che load-scripts.php non richiede alcuna autenticazione, un utente anonimo può farlo. Dopo ~ 500 richieste, il server non ha risposto più o ha restituito lo stato 502/503/504 errori di codice “, dice Tawily.

L’attacco da una singola macchina, con una connessione di 40 Mbps, non è stato sufficiente per rimuovere un altro sito Web demo in esecuzione su un server dedicato con elevata potenza di elaborazione e memoria.

wordpress-hacking

Ma ciò non significa che il difetto non sia efficace contro i siti web WordPress che girano su un server pesante, poiché un attacco a livello di applicazione richiede generalmente molti meno pacchetti e larghezza di banda per abbatter un sito.

Pertanto, gli hacker con maggiore larghezza di banda o alcuni robot possono sfruttare questo difetto per colpire anche siti Web WordPress grandi e popolari.

Di seguito ecco il video di Tawily in cui fornisce una dimostrazione per l’attacco Denial of Service di WordPress.

Sapendo che le vulnerabilità DoS sono fuori dal programma di bounty bug di WordPress, Tawily ha segnalato responsabilmente questa vulnerabilità DoS al team di WordPress attraverso la piattaforma HackerOne.

Tuttavia, la società ha rifiutato di riconoscere il problema, affermando che questo tipo di bug “dovrebbe essere mitigato a livello di server o di rete piuttosto che a livello di applicazione”, che è al di fuori del controllo di WordPress.

WordPress alimenta quasi il 29 percento del Web, mettendo milioni di siti Web in pericolo e rendendoli non disponibili per i loro legittimi utenti.

Per i siti web che non possono permettersi servizi che offrono protezione DDoS dagli attacchi a livello di applicazione, il ricercatore ha fornito una versione biforcuta di WordPress , che include la mitigazione contro questa vulnerabilità.

Il ricercatore ha anche rilasciato un semplice script bash che risolve il problema, nel caso abbiate già installato WordPress.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat