Bleeping Computer 網站披露,超過百萬 WordPress 網站使用的 All-In-One Security(AIOS)WordPress安全插件被曝將用戶嘗試登錄的明文密碼記錄到網站數據庫中,此舉可能危及賬戶安全。
AIOS 是 Updraft 開發的一體式解決方案,主要為 WordPress 網站提供網絡應用程序防火墻、內容保護和登錄安全工具,以阻止機器人并防止暴力攻擊。
大約在三周前,一位用戶反應 AIOS v5.1.9 插件不僅將用戶嘗試登錄記錄到 aiowps_audit_log 數據庫表中,用于跟蹤登錄、注銷和失敗的登錄事件,還記錄了用了輸入的密碼。該用戶擔心此舉違反了包括NIST 800-63 3、ISO 27000和GDPR在內的多項安全合規標準。
漏洞的初步報告(wordpress.org)
接到反饋后,Updraft 方面回應稱該問題是一個 "已知錯誤",并含糊地承諾將在下一個版修復問題。在意識到問題的嚴重性后,Updraft 支持人員兩周前向相關用戶提供了即將發布的開發版,但是試圖安裝開發版的用戶仍指出密碼日志沒有被刪除。
修復程序現已發布
7 月 11 日,AIOS 供應商發布了 5.2.0 版本,其中包括一個防止保存明文密碼并清除舊條目的修復程序。AIOS 供應商在公告中一再強調 AIOS 發布的 5.2.0 版本更新版本修復了 5.1.9 版本中存在的一個錯誤,該錯誤導致用戶密碼以明文形式添加到 WordPress 數據庫中。
一旦“惡意”網站管理員在用戶可能使用相同密碼的其他服務上嘗試利用這些密碼,此舉會帶來一些安全問題。此外,一旦被暴露者的登錄信息在這些平臺上沒有受到雙因素身份驗證的保護,“惡意”管理員就可以輕易接管用戶的賬戶。
除了“惡意”管理員帶來的安全風險外,使用 AIOS 的網站還將面臨黑客入侵的風險,這些黑客一旦獲得網站數據庫訪問權限,便有可能會以明文形式泄露用戶密碼。
截止到文章發布,WordPress.org 統計數據顯示大約四分之一的 AIOS 用戶已將更新應用 5.2.0 版本,因此推算大概仍有超過 75 萬個網站處于易受攻擊狀態。
更不幸的是,WordPress 一直以來都是網絡攻擊者的攻擊目標,一些使用 AIOS 的網站可能已經被泄露,再加上該安全問題已經在網上傳播了三周多,且 Updraft 沒有警告用戶暴露風險的增加,因此,可能已經發生了一些安全威脅事件。
最后,使用 AIOS 的網站應該盡快更新到最新版本,并要求用戶重置密碼。
綠盟科技
安全圈
FreeBuf
E安全
GoUpSec
虹科網絡安全
嘶吼專業版
安全內參
D1Net
一顆小胡椒
安全圈
RacentYY
