水曜日, 7月 14, 2010

【警告】WordpressブログのSQLインジェックション攻撃


バックグラウンド↓
2007年の中に本件のSQLインジェックション攻撃パターンが始めて発見されました。その時に攻撃の仕様はちゃんとドキュメンテーションされました(こちらへ確認が出来ます)


つい最近べラルース国のIPアドレスから沢山同じ攻撃の動きが発見されました。
本件の攻撃のパターンの中に下記の2点が沢山見えてます↓
パターン1↓
?cat=999+UNION+SELECT+null,CONCAT(666,CHAR(58),user_pass,CHAR(58), 666,CHAR(58)),null,null,null+FROM+wp_users+where+id=1/*

パターン2↓
?cat=%2527+UNION+SELECT+CONCAT(666,CHAR(58),user_pass,CHAR(58),666,CHAR

↑上記の攻撃の目的はWordpress mysql管理アカウントの「id=1」のランダムパスワードを攻撃する事です。上記の「666」の数字は変えられますけど、ログで発見されたのは「666」が沢山出ました。
攻撃が作成が出来た場合アドミン情報が持っているパスワードがウェブページに見えるようになります。例え下記のサンプル結果です↓
666:PasswordHash:666

この情報が取れたらWordpressのアドミン権限が取れますので、次はWordpressサーバはマルウェアサービスになる可能性が出ます。

再現仕方↓
この攻撃に当たってWordpressの設定の確認が必要です。設定確認仕方はshellで下記のコマンド実行して下さい
1)mysql -pPassword -u Username Databasename
日本語ですとこんな感じです↓
mysql -p「パスワード」 -u 「ユーザ名」「データベース名」
2)id=1を選んで下さい↓
select * from wp_users where id=1;
↑IDとパスワード情報が出ましたら攻撃される可能性が高いです。


解決方法↓
「wp_users column」の標準設定ですと本件セキュリティ問題に影響されますが「wp_users column」を変更して下さい。
設定されてないWordpressサーバは本件攻撃のゼロデイセキュリティ問題になります。Wordpress社には本件の攻撃情報のレポート済み状況です。


---
http://0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿