搜索
NFT元宇宙Web3
近期热门

WordPress网站在TLS证书发放后 “几秒钟内 “就被黑掉了

Founder

攻击者在网站所有者激活安装向导之前就埋伏好了

WordPress网站在TLS证书发放后 "几秒钟内 "就被黑掉了

攻击者正在滥用证书透明度(CT)系统,在内容管理系统(CMS)被配置并得到安全保障之前的短时间内,破坏新的WordPress网站。

CT是一个网络安全标准,用于监控和审计TLS(又称SSL)证书,这些证书是由证书颁发机构(CA)颁发的,用于验证网站的身份。

该标准首先由DigiCert CA在2013年实施,规定CA必须立即将所有新颁发的证书记录在公共日志上,以保证透明度和及时发现流氓或滥用的证书。

DDoS攻击

然而,越来越多的证据表明,恶意黑客正在监控这些日志,以检测新的WordPress域名,并在网站管理员上传WordPress文件后,但在他们设法用密码保护网站之前,自己配置CMS。

多份证据已经出现,详细说明网站在请求TLS证书的几分钟内–甚至在几秒钟内–就被黑掉。

域名所有者报告说,系统中出现了一个恶意文件(/wp-includes/.query.php),网站被迫加入DDoS攻击。

在Let’s Encrypt(一家发行免费证书并在2019年推出自己的CT日志的CA)支持论坛的一个相关主题上,一名Certbot工程师说,这些攻击 “已经发生了几年了”。

侦察技术

运营Let’s Encrypt的互联网安全研究集团的执行董事Josh Aas同意该工程师对攻击者侦察技术的猜测。

Aas告诉媒体,”如果攻击者直接轮询CT日志,他们会更快地看到新的证书条目,给他们一个更大的时间窗口来完成攻击。扫描crt.sh,一个证书搜索域,”也可能起作用,但新证书从CT传播需要更长时间”。

毫无疑问,这些攻击反映了CT系统的缺陷,根据Let’s Encrypt的说法,CT系统 “为CA生态系统和网络安全带来了许多改进”,”正在迅速成为关键的基础设施”。

Aas说,所有受公众信任的 CA 都必须“在颁发证书后立即”将证书提交到 CT 日志。

自动化的论据

他建议,保护新的WordPress网站的责任最终在于域名所有者和主机提供商。

从Let’s Encrypt获得证书可能会使检测一个新的安装更容易,但在WordPress安全安装之前,任何人都不应该将其放在公共互联网上。如果托管服务提供商或任何其他实体正在这样做,请将其作为他们部署过程中的一个漏洞进行报告。”

Automattic公司WordPress项目的执行董事Josepha Haden告诉媒体,这种攻击 “只影响直接安装–如果一个网站在任何推荐的主机上,或者安装过程是自动化的,通常有一个预先配置的配置文件,所以安装过程是完整的/不是互动的,这种攻击的机会很少”。

在最近一篇关于这个话题的博文中,科罗拉多州的网页设计公司White Fir Design建议,WordPress可以通过在一开始就让域名所有者 “控制网站 “来解决这个问题,”例如,通过添加一个[模板]文件”。

在Let’s Encrypt论坛上,Let’s Encrypt Windows UI Certify the Web的开发者Christopher Cook建议,WordPress “可以将安装URL随机化,并且只在控制台中向你展示,或者需要一个一次性令牌”。

Josepha Haden承认,WordPress需要 “审查这个问题。她说:”核心团队已经意识到了,并且正在讨论最佳修复时机,因为我们正在推进今年剩余时间的其他版本。

编辑于 2022-05-07 06:03
「 真诚赞赏,手留余香 」
赞赏

发表评论已发布0

手机APP 意见反馈 返回顶部 返回底部