به کاربرانی که وب گاه های خود را با استفاده از سامانه های مدیریت محتوای وردپرس و دروپال ایجاد کرده اند، توصیه می شود که هرچه سریع تر وب گاه های خود را به روز رسانی کنند.
به گزارش دیداس گارد این دو سامانه ی مدیریت محتوی کشف شده است که مربوط به پیاده سازی XMLRPC می باشد و ممکن است مهاجم با سوء استفاده از این آسیب پذیری با استفاده از روشی به نام DDoS یا تخریب سرویس منجر به از کار افتادن وب گاه شود.
آخرین به روز رسانی وردپرس یعنی WordPress 3.9.2 آسیب پذیری با عنوان پردازش گر XML در PHP را وصله کرده است که در صورت سوء استفاده ممکن بود منجر به حملات تخریب سرویس شود و این آسیب پذیری در تمام نسخه های قبلی وردپرس موجود است.
آسیب پذیری XML اولین بار توسط Nir Goldshlager، محقق امنیتی از تیم امنیتی Salesforce.com گزارش شده، و در مورد هر دو سکوی وب گاه محبوب یعنی وردپرس و دروپال موجود است و این آسیب پذیری در آخرین نسخه های این دو محصول توسط Michael Adams و Andrew Nacin برای وردپرس و David Rothstein برای دروپال وصله شده است.
آسیب پذیری مذکور از حملات سایبری معروفی به نام حملات XML Quadratic Blowup استفاده می کند، زمانی که این حملات علیه یک وب گاه به کار گرفته می شود قابلیت از کار انداختن کامل وب گاه و یا حتی کارگزار میزبان وب گاه را برای مهاجم فراهم می کندو نوع حملات به صورت حملات تخریب سرویس توزیع شده نیست و تنها با یک ماشین حملات صورت می گیرد.
آسیب پذیری XML با در دست گرفتن تمام CPU و حافظه و باز کردن تعداد زیادی ارتباط باز با پایگاه داده منجر به از دست رس خارج شدن کارگزار وب گاه برای مدت زمان خاصی می شود و ممکن است در صورت حملات متوالی وب گاه به طور کامل از دست رس خارج شود.
این آسیب پذیری از آن جایی که وردپرس و دروپال توسط میلیون ها وب گاه استفاده می شوند و هم اینک روش سوء استفاده از آن به صورت عمومی منتشر شده است بسیار خطرناک است، به گزارش WC3 نزدیک به ٪۲۳ از کل وب گاه های موجود مبتنی بر سامانه ی مدیریت محتوای دروپال است و میلیون ها وب گاه از جمله بسیاری از وب گاه های دولتی داخل کشور مبتنی بر سامانه ی دروپال است.
وردپرس به علت کاربرپسند بودن و البته وجود نزدیک به ۳۰۰ هزار افزونه توسط کاربران زیادی مورد استفاده قرار گرفته است که غالباً توجهی به ارائه ی به روز رسانی ها و وصله ها ندارند و ممکن است به همین علت دچار حملات مذکور شوند.
نحوه ی سوء استفاده از آسیب پذیری چگونه است؟
همان طور که توضیح داده شد این آسیب پذیری با استفاده از حملات XML Quadratic Blowup صورت می گیرد، در این حملات یک پرونده ی کوچک XML منجر به از کار افتادن سرویس در کسری از ثانیه خواهد شد.
بررسی روال انجام حملات DDoS به کمک سایت WordPress:
یک مهاجم میتواند تا زمانی که به صورت پنهانی در سایه است ازهزاران سایت پربازدید وردپرس برای انجام حملات DDoS خود استفاده نماید و همه این اتفاقات به خاطر یک درخواست pingback ساده در فایل XML-RPC است. دستور ساده زیر در لینوکس میتواند شروع کننده این قبیل حملات باشد:
$ curl -D – “www.anywordpresssite.com/xmlrpc.php” -d ‘<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>’
برای بررسی حملات دیگر به سایت، میتوان از طریق logهای سایت درخواستهای post به فایل XML-RPC را بررسی نمود. اگر pingbackای به یک url تصادفی را مشاهده کردید، متوجه خواهید شد که سایت شما مورد سوء استفاده قرار گرفته است.
93.174.93.72 – – [09/Mar/2014:20:11:34 -0400] “POST /xmlrpc.php HTTP/1.0” 403 4034 “-” “-” “POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A <value>\x0A <string>http://fastbet99.com/?1698491=8940641</string>\x0A </value>\x0A </param>\x0A <param>\x0A <value>\x0A <string>yoursite.com</string>\x0A </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A”
94.102.63.238 – – [09/Mar/2014:23:21:01 -0400] “POST /xmlrpc.php HTTP/1.0” 403 4034 “-” “-” “POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A”
در موارد بالا، سعی در استفاده از honeypotهای فایروال جهت DDoS به fastbet99.com و guttercleanerlondon.co.uk شدهاست.
برای جلوگیری از سوء استفاده از سایتهای وردپرس نیاز است تا تابع XML-RPC یا pingback غیرفعال شوند. روش بهتر جهت مسدود کردن این نوع حملات اضافه کردن یک plugin فیلترکننده به صورت زیر میباشد:
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );
در حملات XML Quadratic Blowup یک پرونده ی XML با استفاده از یک ورودی بسیار بزرگ پر می شود و این ورودی شامل یک رشته ی بسیار بزرگ متشکل از هزاران نویسه است که بارها و بارها در پرونده ی XML تکرار می شود.
در این حملات، یک پرونده ی XML با اندازه ی متوسط نزدیک به ۲ کیلوبایت به علت رشته های طولانی درون آن نیاز به صدها مگابایت یا چندین گیگابایت حافظه دارد و همین مسئله منجر به در دست گرفتن تمام حافظه و تخریب سرویس دهی وب گاه می شود. اگر مهاجم رشته ی x متشکل از ۵۵هزار نویسه را ۵۵هزار بار در یک پرونده ی XML تکرار کند، یک پرونده ی XML با حجم ۲۰۰ کیلوبایت تولید می شود، زمانی که این پرونده در سامانه ی کارگزار وب گاه در حال اجرا باشد نزدیک به ۲٫۵ گیگابایت حافظه نیاز خواهد داشد.
آسیب پذیری مذکور در تمام نسخه های وردرپرس از نسخه ی 3.5 تا 3.9.1 و در تمام نسخه های دروپال نسخه های ۶ و ۷ وجود دارد و نیاز به تنظیمات خاصی نیست و در پیکربندی پیش فرض آسیب پذیری قابل سوء استفاده است.
هر دو سامانه ی مدیریت محتوا امروز به روز رسانی را منتشر کرده اند که آسیب پذیری مذکور را وصله می کند، به کاربران اکیداً توصیه می شود که به روز رسانی ها را برای وب گاه های خود دریافت کنند.
اولین باشید که نظر می دهید