WordPress 网站在 TLS 证书发布后“几秒钟内”被黑客入侵

攻击者正在滥用证书透明度(CT) 系统在内容管理系统 (CMS) 配置并因此得到保护之前的通常短暂的时间窗口内破坏新的 WordPress 站点。

Automattic 的 WordPress 项目执行董事 Josepha Haden 告诉The Daily Swig,这些攻击“只影响直接安装——如果站点位于任何推荐的主机上,或者安装过程是自动化的,通常会有一个预配置的配置文件所以安装过程是完整的/不是交互式的,这种攻击的可能性很小”。

CT 是用于监控和审核TLS(又名 SSL)证书的 Web 安全标准,由证书颁发机构 (CA) 颁发以验证网站的身份。

DigiCert CA 于 2013 年首次实施该标准,该标准要求 CA 立即在公共日志中记录所有新颁发的证书,以提高透明度并迅速发现流氓或滥用的证书。

然而,越来越多的证据表明,恶意黑客正在监控这些日志,以便在网络管理员上传 WordPress 文件之后、但在他们设法使用密码保护网站之前,检测新的WordPress域并自行配置 CMS。

出现了多个证词,详细说明了在请求 TLS 证书的几分钟内(甚至是几秒钟内)被黑客入侵的网站。

域所有者报告了恶意文件(/wp-includes/.query.php) 的出现,并且网站被强行加入 DDoS 攻击。 在 Let's Encrypt 支持论坛上的相关帖子中,Certbot 的一名工程师表示,这些攻击“已经发生了几年”,这是一家颁发免费证书并于 2019 年推出自己的 CT 日志的 CA。

运行 Let's Encrypt 的互联网安全研究小组的执行董事 Josh Aas 同意工程师对攻击者侦察技术的推测。

“如果攻击者直接轮询 CT 日志,他们会更快地看到新的证书条目,从而为他们提供更大的时间窗口来发起攻击,”Aas 告诉The Daily Swig。扫描证书搜索域 crt.sh“可能也有效,但从 CT 传播新证书需要更长的时间”。

毫无疑问,这些攻击反映了 CT 系统的缺陷,据 Let's Encrypt 称,该系统“导致 CA 生态系统和 Web 安全性的大量改进”并且“正在迅速成为关键基础设施”。

Aas 表示,所有受公众信任的 CA 都必须“在颁发证书后立即”将证书提交到 CT 日志。

他建议保护新的 WordPress 网站的责任最终在于域名所有者和托管服务提供商。

“从 Let's Encrypt 获取证书可能更容易检测新安装,但在安全之前,任何人都不应该将 WordPress 安装放在公共互联网上。如果托管服务提供商或任何其他实体正在这样做,请将其报告为他们部署过程中的漏洞。”

在最近一篇关于该主题的博客文章中,总部位于科罗拉多州的网页设计公司 White Fir Design 建议 WordPress 可以通过在一开始就让域所有者“控制网站”来解决这个问题,“比如说,通过添加 [模板] 文件”。

在 Let's Encrypt 论坛上,Let's Encrypt Windows UI Certify the Web 的开发者 Christopher Cook建议WordPress“可以随机化安装 URL 并仅在控制台中显示给您,或者需要一次性令牌”。

Josepha Haden 承认 WordPress 需要“审查这个问题。核心团队意识到并讨论了最佳变化以及最佳时机,因为我们将在今年剩余的时间里继续发布我们的其他版本,”她说。

发表评论

评论已关闭。

相关文章