資安公司Ripstech在7個月前向WordPress資安團隊回報,一個允許外部刪除檔案的程式碼執行漏洞,但WordPress卻音訊全無,即使在5月中推出的4.9.6版本,也不見修補該漏洞,Ripstech於是在6月26日怒公開該漏洞細節,WordPress只好在7月5日緊急釋出了4.9.7安全維護版本,並且強烈建議用戶,凡使用3.7到4.9.6版本的WordPress都應馬上更新。

駭客要使用這個任意程式碼執行漏洞,需要先取得編輯以及刪除媒體的權限,Ripstech提到,只要能獲得操作權限提升就能使用該漏洞,所以駭客可以接手像是作者這類低權限的帳戶,或是透過其他漏洞以及錯誤設定來獲得進一步的檔案編輯權限。這個漏洞的嚴重性在於,駭客能夠移除任何WordPress的安裝檔案,包括允許讓駭客抹除整個WordPress安裝,而當網站沒有適當的備份,將可能造成不可恢復的災難性後果。

駭客能夠利用任意刪除檔案的能力,規避一些安全性措施,進一步在網頁伺服器上執行任意程式碼。Ripstech列出可被刪除的檔案。第一種是.htaccess檔,這類檔案被刪除後,通常不會有任何安全性的後果,但是在某些情況下,.htaccess可能內含一些諸如資料夾存取等安全性相關的限制,.htaccess被移除也就停用了這些安全性限制。

另外,網站通常會擺上一個空的index.php檔案,以防網頁伺服器會在使用者存取該頁面時,列出網站資料夾,而移除index.php檔案則會暴露網站的結構。不過,最嚴重的還是wp-config.php被刪除,除了wp-config.php內含資料庫憑據外,缺少這個檔案,WordPress會以為程式尚未安裝,駭客只要刪除該檔案後,便可以替管理員帳戶更換安裝程序的憑證,在WordPress重新啟動安裝程序後,便能在伺服器上執行任意程式碼。

Ripstech認為,目前最熱門的CMS非WordPress莫屬,依照網頁科技調查網站W3Techs的統計,約有三分之一的網站使用WordPress,這也表示這些用戶很容易成為駭客的目標,但這個任意程式碼執行漏洞在第一次提報給WordPress安全團隊,歷經7個多月仍然沒有任何具體的修補計畫,於是決定將其公開。

而在Ripstech發現刪除檔案程式碼執行漏洞後,另一家資安公司Wordfence也發現了一個類似的漏洞,該漏洞發生在媒體上傳器的附件上傳AJAX動作,駭客透過WordPress處理檔案的漏洞,也能達到刪除wp-config.php檔案的目的,使WordPress重新啟動安裝程序,提供駭客執行任意程式碼的機會。

就在Ripstech公開漏洞細節後,WordPress在7月5日緊急釋出了安全維護更新4.9.7版本,除了修補上述兩個嚴重漏洞外,也一併修復了另外10幾項錯誤,官方表示,這版本是一個安全維護更新,只要網站使用3.7以上的所有版本,都強烈立刻更新到WordPress 4.9.7。


Advertisement

更多 iThome相關內容