IT業界資訊媒體

【點先?官方唔理!】 發現DoS漏洞可癱瘓網站,WordPress話:「outside of WordPress’s control」!

網誌保安調查員發現一種DoS漏洞,可以輕易將任何WordPress網站癱瘓,然而,通報WordPress後竟未被受理,咁點搞?

調查員Barak Tawily發現一種DoS漏洞 (CVE-2018-6389) 能以「load-scripts.php」於WordPress CMS嘅內置編碼中執行,而此漏洞之特點,是簡單操作,即使用一部電腦都可以做到大型DDoS攻擊效果。

一般而言,load-scripts.php檔主要用於網站優化,如將繁複JavaScript整合,從而加快網站速度。而响未login入admin之前,其實已經可以行load-scripts.php,換句話講,係人都可以access到,咁就出事。

The Hacker News嘗試依照Barak Tawily嘅方法,用一部電腦對一個demo網站進行DoS攻擊,結果成功令一個中型VPS server網站癱瘓。以此推論,當hacker召集多部殭屍機,就可以向大型網站DDoS攻擊。

Tawily嘗試聯絡WordPress解釋事件嘅嚴重性,甚至提供PoC,來回搓咗幾板之後,WordPress回覆:”This kind of thing should really be mitigated at the server or network level rather than the application level, which is outside of WordPress’s control.”

即係「關我_事」。

可能WordPress認為此屬小事,而Tawily就提醒大家:load-scripts.php係唔需要任何授權就入到,而大約食咗500個request之後,server就會癱瘓,彈出502/503/504 status code。以此漏洞可以入侵過往9年嘅所有WordPress版本,包括最新版Version 4.9.2。

Well…現時全球有約3成網站使用WordPress,大家點睇?

資料來源:https://goo.gl/uYLPPY