Wordfence最新漏洞造成大部分的網站被黑，Wordfence最近披露了某個影響范圍很廣的安全問題，大量WordPress網站都受到影響。這個漏洞利用的是WordPress的自動更新功能，此功能默認是開啟的，又因為整個互聯網上大約有27%的站點都采用WordPress，所以Wordfence宣稱，整個web世界有27%的網站都可能因此被黑。

簡單說就是利用WordPress更新服務器的弱點，控制該服務器，自然也就能夠同時對所有采用WordPress的網站完成入侵了。

一擊黑入全球1/4的網站

在WordPress生態中，api.wordpress.org服務器的重要功能在于，為WordPress站點發布自動更新。各WordPress站點，每隔1個小時就會向該服務器發起請求，檢查插件、主題和WordPress核心更新。

api.wordpress.org服務器的響應就包括了WordPress各部分是否需要自動更新，響應中也包含下載和安裝更新軟件的URL地址。

于是，只要搞定了這臺服務器，黑客也就能夠讓所有的WordPress站點自動從他們自己的URL下載和安全惡意程序了。也就是說，攻擊者通過api.wordpress.org的自動更新機制，就能大規模黑入大量WordPress站點。

整個過程實際上是完全可行的，因為WordPress本身并不提供軟件的簽名驗證。它信任api.wordpress.org提供的任意URL地址和包。WordPress文檔中有提到：默認情況下，每個站點都會開啟自動更新功能，接收核心文件更新。

按照Wordfence的說法，黑客只需要針對api.wordpress.org一擊，就能讓全球超過1/4的網站感染惡意程序。

api.wordpress.org漏洞技術細節

這個更新服務器有個GitHub webhook，它能夠讓WordPress核心開發者將代碼同步到wordpress.org SVN庫，也就能夠將GitHub作為其源代碼庫了。這樣一來，核心開發者只要在GitHub提交更改，就會觸發api.wordpress.org的一個進程，也就能方便得從GitHub獲得最新代碼。

這里api.wordpress.org聯系GitHub的URL也就是所謂的“webhook”，這東西是用PHP寫的。此webhook的PHP是開源的，點擊這里就能獲取。

Wordfence對其中的代碼進行了分析，發現了其中的一個漏洞。攻擊者利用該漏洞就能夠在api.wordpress.org上執行任意代碼，并且獲得api.wordpress.org的訪問權。實際上也就是遠程代碼執行漏洞了。

來自GitHub的請求抵達api.wordpress.org，那么webhook會通過共享的hashing算法來確認，的確是GitHub發出的請求。整個過程是GitHub發出JSON數據，它會將數據和共享秘值進行混合，哈希后將哈希值與JSON數據一同發給api.wordpress.org。

api.wordpress.org收到請求之后，也將JSON數據和共享秘值進行混合，然后算哈希。最終結果如果和GitHub發來的匹配，也就證明了來源是沒問題的，是GitHub發來的請求。

GitHub采用SHA1來生成哈希，并且在header: X-Hub-Signature: sha1={hash}的位置給出簽名。webhook提取算法和哈希來確認簽名。漏洞也就在于：代碼會使用客戶端提供的哈希函數，這里的客戶端通常情況下當然就是GitHub了。在這個過程中，如果能夠繞過webhook認證機制，攻擊者將能夠向shell_exec直接傳送POST參數，從而執行遠程代碼并順利入侵api.wordpress.org更新服務器。

當然整個過程需要讓webhook認為，攻擊者是知道共享秘值的。不過webhook能夠讓攻擊者選擇哈希算法，PHP提供了各種算法。找個足夠弱的哈希算法，暴力攻破webhook，發出一系列哈希，猜出共享秘值和發送數據的哈希值，直到猜對為止，api.wordpress.org就會響應請求。

整個過程的詳情可以參見文末Wordfence的原文鏈接。

問題根源沒有解決?

Wordfence是在今年9月份將該漏洞上報給Automattic(WordPress母公司)的，Automattic與9月7日向代碼庫推了fix(有關補丁詳情，可以點擊這里)。不過Wordfence表示api.wordpress.org仍然是部署WordPress核心、插件和主題升級的單點故障根源所在。

Wordfence表示曾經試圖與Automattic安全團隊就有關自動升級系統的安全問題展開對話，但沒有得到任何回應。大約在3年前，就有相關WordPress服務器部署認證機制的探討，目前都還沒有任何進展。