Geri ping istekleri özelliğinde sorun var
Araştırmacılar, dağıtılmış hizmet reddi (DDoS) saldırılarını etkinleştirebilecek bir WordPress Core özelliğinde altı yıllık bir kör sunucu tarafı istek sahteciliği (SSRF) güvenlik açığıyla halka açıldı.
Bu hafta (6 Eylül) yayınlanan bir blog yazısında Sonar araştırmacıları, WordPress’teki pingback istekleri özelliğindeki bir güvenlik açığından nasıl yararlanabileceklerini ayrıntılı olarak anlattı.
Güvenlik açığı ilk olarak 2017’de ortaya çıktı, ancak henüz yamalanmamış durumda.
geri ping sorunu
Pingback istekleri, başka bir web sitesi bloglarına bağlandığında WordPress yazarlarının bilgilendirilmelerini sağlar.
Geri ping işlevi, dosya aracılığıyla erişilebilen XMLRPC API’sinde gösterilir. Bu yöntemi kullanarak diğer bloglar pingback’leri duyurabilir.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Sonar araştırmacıları, bu özelliğin saldırganların kötü niyetli olarak binlerce blogdan tek bir kurban sunucusunda pingback olup olmadığını kontrol etmelerini isteyerek DDoS saldırıları gerçekleştirmesine olanak sağlayabileceğini açıkladı.
Geri pingler bir onay kutusu aracılığıyla kapatılabilse de, WordPress örneklerinde varsayılan olarak etkindirler.
Araştırmacılar, “diğer savunmasız hizmetlere güvenmeden savunmasız örnekleri devralmak için bu davranıştan yararlanmanın yollarını genel olarak belirleyemediklerini” belirtmekte fayda var.
Bunun yerine, hata, etkilenen kuruluşun dahili ağındaki diğer güvenlik açıklarından yararlanılmasını kolaylaştırabilir.
Kısıtlamaları aşmak
Sonar’daki güvenlik açığı araştırmacısı ve blogun yazarı Thomas Chauchefoin, şunları söyledi: Günlük Swig: “2012’de, pingback özelliğiyle ilgili riskler bilinmeye başladı ve WordPress yöneticileri bu tür isteklerin hedefine kısıtlamalar getirdi: bunlar sınırlı bir dizi bağlantı noktası, yalnızca genel IP adresleri vb. ile sınırlı olacaktı.
“Özünde, bulgumuz bu kısıtlamaların bazılarını aşmaya ve yerel ağdan ana bilgisayarları hedeflemeye izin veriyor. Saldırganlar bunu, örneğin dahili hizmetlerdeki bir güvenlik açığından yararlanmak için, aksi takdirde ulaşılamayacak olan ana bilgisayarlara istek göndermek için kullanabilir.”
“Bu hata, pingback’lerle ilgili çoğu CVE’nin soyundan geliyor, ancak bir araştırmacının bu özel kısıtlamayı nasıl aşacağını belgeleyen en eski göstergesi 2017’den.”
KAÇIRMAYIN WordPress uyarısı: 140k BackupBuddy yüklemesi, dosya okuma istismarına karşı tetikte
SonarSource araştırmacıları, sorunu 21 Ocak’ta WordPress’e açıkladı. Ocak 2017’de WordPress ekibine bildirilen Sonar’a göre, yinelenen bir hata olarak kabul edildi.
Chauchefoin şunları ekledi: “Güvenlik açığını 21 Ocak’ta resmi kanallar aracılığıyla oldukça standart bir 90 günlük ifşa politikasıyla bildirdik. 30 günlük bir uzatma dönemini kabul ettikten sonra, hala yukarı yönde birleştirilmeyi bekleyen ilk yamayı inceledik. Yayınımız, ilk raporumuzdan 228 sonra gerçekleşti.”
Bir WordPress Güvenlik Ekibi sözcüsü şunları söyledi: Günlük Swig: “Sonar blog gönderisinde belirtildiği gibi, bu düşük etkili bir sorundur ve bundan faydalanmak ‘[chaining] üçüncü taraf yazılımlardaki ek güvenlik açıklarına karşı ‘.
“Bu nedenle, Güvenlik Ekibi sorunu düşük bir öncelik olarak görüyor.”
Şunları eklediler: “Düşük ciddiyeti nedeniyle ekip, bu sorunun genel bir sertleşme önlemi olarak kamuoyunda çözülüp çözülemeyeceğini tartışıyor.”
Azaltma tavsiyesi
WordPress anlattı Günlük Swig hatadan yararlanmanın “WordPress dışındaki birden çok sistemde güvenlik açıkları” gerektirdiğini, ancak web sitesi sahiplerinin her zaman barındırma sağlayıcıları tarafından sağlanan DNS sunucularını kullanmasını önerdiğini söyledi.
Şunları eklediler: “Geri pingler için kullanıcılar pingbackleri kapatabilir. XMLRPC uç noktası, yalnızca ping işlemi yapılan gönderi için pingback’ler açıksa HTTP isteklerini (Sonar blog gönderisinde ayrıntılı olarak açıklanmıştır) yapacaktır.
“Web sitesi sahipleri (a) orijinal gönderide sağlanan kod parçacığını kullanarak pingback’leri küresel olarak kapatabilir ve/veya (b) blog gönderileri için pingback’leri kapatabilir.”
Chauchefoin şunları ekledi: “Yamalanmamış hatalarla halka açılmak bizim için istisnai ve dikkatle düşünülmüş bir karardı. Bulduğumuz bulgunun önceki kamu çalışmalarıyla çatıştığına ve gerçek dünyadaki ortamlara karşı silahlanmanın önemli ölçüde çalışma gerektireceğine dair kanıtımız olduğundan, ayrıntıları artık saklamanın yalnızca savunucuları dezavantajlı hale getireceğine inanıyoruz.
“WordPress bakımcılarının çabalarını selamlamak istiyoruz; Mümkün olan en iyi sonuca ulaşamasak bile, tüm web sitelerinin %40’ının arkasındaki yazılım için geri bildirim düzeltmeleri önemsiz değil!”
Önceki pingback sorunu
DDoS saldırılarına izin veren pingback istekleri özelliğindeki bir başka güvenlik açığı, 2012’de WordPress çekirdeği tarafından giderildi.
Araştırmacılar, Acunetix tarafından bildirilen sorunun çeşitli şekillerde kötüye kullanılabileceğini bildirdi ve keşiften kısa bir süre sonra WordPress Core sürümünde “genel bir sertleştirme bileti olarak” düzeltildi.
ÖNERİLEN Satıcı, güvenlik duvarı eklentisi RCE kusurunun ciddiyetine itiraz ediyor