$
אינטרנט

חוקר ישראלי חשף כשל ב-Wordpress שמאיים על מאות מיליוני אתרים

ברק טוילי גילה ליקוי בפלטפורמת בניית האתרים, עליה מבוססים כ-29% מאתרי הרשת. הכשל מאפשר ביצוע מתקפות מניעת שירות ללא צורך בתשתית תקיפה נרחבת. מקורו בקוד של וורדפרס עצמה, שנועד לאפשר פעולה מהירה של שירותים מקוונים

עומר כביר 12:3806.02.18
כשל בפלטפורמת האתרים וורדפרס מאפשר לכל אדם עם ידע מינימלי להשבית את פעילותו של אתר שנשען עליה – כך חשף ברק טוילי, חוקר אבטחת מידע ישראלי.

 

 

לדבריו, הכשל שזיהה מאפשר לתוקף להפיל אתר באמצעות מתקפת מניעת שירות (DoS) פשוטה. מתקפות מניעת שירות מבוזרות (DDoS) דורשות שימוש ברשתות של מאות ואלפי מחשבים, שיוצרים עומס פניות על שרתי אתרים כדי להפיל אותם. לעומת זאת, הכשל שחשף טוילי מאפשר להגיע לאותה תוצאה עם מחשב אחד בלבד, ששולח רק כ-500 פניות מדי שנייה או שתיים. כך יכולים פושעי סייבר להפיל אתר ללא משאבים מיוחדים, באמצעות קוד פשוט במיוחד, שרץ ממחשביהם.

 

DDoS DDoS צילום: The Merkle

 

 

"הכשל מצוי בתכונה של וורדפרס שמיועדת לחסוך זמן ולשפר את ביצועי המערכת", הסביר טוילי ל"כלכליסט". "אם אתה רוצה להוריד קבצים מהשרת במקום לשלוח שלוש בקשות לשלושה קבצים, היא מאפשרת בבקשה אחת אפשר לקבל את שלושת הקבצים. זה מייעל ומשפר את הביצועים ואת המהירות טעינה של האתר.

 

"התכונה הזו אמורה להיות זמינה רק לאדמין, אך היא משולבת גם בעמוד ההתחברות של האתר, כך שגם משתמשים בלי הרשאות גישה לנצל אותה. אפשר לשלוח הבקשה לשרת לספק 181 קבצים בבקשה אחת. התוקף עושה את זה בבקשה אחת קצרה, אבל השרת מבזבז הרבה CPU וזיכרון כדי להביא קבצים בגודל כמה מגה-בייט. ואם שולחים כמה מאות בקשות השרת לא יהיה לו זמן לעבד בקשות אחרות והוא יקרוס".

 

 

פלטפורמת וורדפרס פלטפורמת וורדפרס

 

 

לצרכי בדיקה יצר טוילי סקריפט שמדגים את המתקפה, והריץ אותו מול חמישה אתרי וורדפרס, בהסכמת האתרים. כל החמישה קרסו אחרי שניות ספורות. "לפי וורדפרס, 29% מהאתרים בעולם מתבססים על הפלטפורמה שלהם, מה שמאפשר לתוקף ליצור נזק עצום", הוא טען.

 

טוילי פנה לוורדפרס דרך HackerOne, שמנהלת את תוכנית דיווח הבאגים והפרצות של הפלטפורמה והתריע על הכשל, אך משם נמסר לו שמדובר במשהו שיש לחסום ברמת הגדרות הרשת ולא האפליקציה. טוילי הסכים שניתן לחסום את המתקפה באמצעות שינוי הגדרות הרשת, אך שהשינוי בקוד של וורדפרס הוא פשוט יותר ויספק הגנה רחבה יותר למשתמשים. "רוב המשתמשים הפשוטים לא מודעים למתקפות מהסוג הזה וככל הנראה לא יתקינו הגנות ברמת התשתית, מה שמחייב את וורדפרס לספק מוצר יותר מאובטח", אמר.

 

 

 

מי שכן התייחס לכשל ברצינות זה מערך הסייבר הלאומי, שפרסם התרעה קריטית על התגלית של טוילי, בתוספת מידע כיצד ניתן להתגונן.
בטל שלח
    לכל התגובות
    x