Bleeping Computer 网站披露,超过百万 WordPress 网站使用的 All-In-One Security(AIOS)WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中,此举可能危及账户安全。
AIOS 是 Updraft 开发的一体式解决方案,主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具,以阻止机器人并防止暴力攻击。
大约在三周前,一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中,用于跟踪登录、注销和失败的登录事件,还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准,
漏洞的初步报告(wordpress.org)
接到反馈后,Updraft 方面回应称该问题是一个 "已知错误",并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后,Updraft 支持人员两周前向相关用户提供了即将发布的开发版,但是试图安装开发版的用户仍指出密码日志没有被删除。
修复程序现已发布
7 月 11 日,AIOS 供应商发布了 5.2.0 版本,其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误,该错误导致用户密码以明文形式添加到 WordPress 数据库中。
一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码,此举会带来一些安全问题。此外,一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护,“恶意”管理员就可以轻易接管用户的账户。
除了“恶意”管理员带来的安全风险外,使用 AIOS 的网站还将面临黑客入侵的风险,这些黑客一旦获得网站数据库访问权限,便有可能会以明文形式泄露用户密码。
截止到文章发布,WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本,因此推算大概仍有超过 75 万个网站处于易受攻击状态。
更不幸的是,WordPress 一直以来都是网络攻击者的攻击目标,一些使用 AIOS 的网站可能已经被泄露,再加上该安全问题已经在网上传播了三周多,且 Updraft 没有警告用户暴露风险的增加,因此,可能已经发生了一些安全威胁事件。
最后,使用 AIOS 的网站应该尽快更新到最新版本,并要求用户重置密码。
文章来源;
https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/