Khắc phục lỗ hổng DOS trên WordPress: CVE-2018-6389

By | 1:30 pm | 03/03/2018

wordpress-dos-attack-hackingl

Một nhà nghiên cứu an toàn bảo mật người Israel, Barak Tawily, đã phát hiện một cuộc tấn công DoS (Tấn công từ chối dịch vụ) ảnh hưởng tới WordPress phiên bản 3.x-4.x vào ngày 05/02.

Lỗ hổng dựa trên tính năng tăng hiệu năng trên WordPress cho phép các file Javascript và CSS tải về hàng loạt chỉ bằng một request. Cuộc tấn công không ảnh hưởng đến nền tảng Akamai, nhưng ảnh hưởng tới tất cả người dùng WordPress không sử dụng các biện pháp bảo mật phù hợp.

Lỗ hổng được tìm thấy trong ‘load-scripts.php’, một script trong mã nguồn của WordPress dùng để xử lý các yêu cầu của người dùng. Theo quan sát của Akamai SIRT, lỗ hổng cũng được tìm thấy trong ‘load-styles.php’, tuy nhiên việc khai thác file này chưa được xác nhận.

Hai file script này được dùng để tải nội dung trang web bằng cách tìm kiếm tên các file được liệt kê và chúng được ngăn cách với nhau bởi dấu phẩy, ví dụ:

https://example.com/wp-admin/load-scripts.php?c=1&load[]=jquery-ui-core&ver=4.9.1

Trong đó, file .js được tải về là jquery-ui-core. Có tất cả 181 file .js được định nghĩa trong script-loader.php và tất cả file này có thể được tải về chỉ bằng một request. Việc này không yêu cầu phải xác thực và trong khi một request có thể không gây quá tải cho máy chủ, nhưng nếu request nhiều lần mỗi giây thì có thể.

Khắc phục

  • Akamai khuyến cáo sử dụng tính năng kiểm soát của họ để chặn nhiều request từ cùng một địa chỉ IP. Người dùng cũng có thể tạo rule để giới hạn số lượng tham số được truyền vào các file script này.
  • Cách khắc phục trên mã nguồn:
  1. Tải file bash script sau về và upload lên thư mục gốc của wordpress: https://raw.githubusercontent.com/Quitten/WordPress/master/wp-dos-patch.sh
  2. Thực thi file đó và chờ tới khi nhận được thông báo: Successfuly patched.