Wordfence威胁情报团队在WordPress 5.4.1中解压缩了安全更新,他们发布了许多博客文章,介绍了诸如Ninja Forms,LearnPress和Real-Time Find and Replace插件等流行插件中的漏洞。这些插件漏洞影响了超过一百万个WordPress网站。由于其中一些是跨站点请求伪造漏洞,因此我们来看看这些攻击如何起作用以及如何避免成为恶意CSRF请求的受害者。
我们还将查看针对COVID-19恐惧和刺激资金的更多骗局,以及Google即将于2020年8月对Chrome扩展程序进行的打击。我们还将查看信息安全领域中许多人表达的对隐私的担忧,其中涉及各种联系人追踪计划包括Google和Apple在内的公司以及政府机构。
如果您想跳来跳去,这里是时间戳和链接,下面是成绩单。
0:18 解压缩今天的WordPress 5.4.1安全更新中修复的7个漏洞。
1:18 以Ninja Forms修补的高严重性漏洞。
3:55 LearnPress中修复了严重性高的漏洞。
4:34 高严重性漏洞已在" 实时查找和替换插件"中修复。
5:56 什么是跨站点请求伪造(CSRF)攻击?
8:48 冠状病毒刺激骗局在这里。如何识别这些新的在线和文本攻击。
10:07 Google宣布将于2020年8月启动Chrome Web Store打击行动。
11:21 安全专家警告:不要让联系追踪应用程序导致监视,而澳大利亚人下载应用程序超过100万次,回应了自2019年以来CBP数据泄露的担忧。
在您喜欢的应用程序或平台上找到我们,包括iTunes,Google Podcast,Spotify,YouTube,SoundCloud和Overcast。
单击此处下载此播客的MP3版本。订阅我们的RSS feed。
情节75成绩单
您好,我的WordPress朋友们,欢迎收看"像黑客一样思考"的第75集,这是有关WordPress,安全性和创新的播客。关于WordPress和安全新闻,我们有很多内容可供探讨,因此让我们开始吧。
我们的第一个故事是关于WordPress版本5.4.1的,该版本在星期三下午(至少在美国下午)发布了。Wordfence威胁情报团队的Ram Gall花了一些时间来研究WordPress 5.4.1中修复的漏洞。他发现了七个已修补的漏洞,其中五个是跨站点脚本。所有这些漏洞似乎仅在某些情况下可以利用。Ram发布了一篇博客文章,我们将在显示笔记中链接该博客文章,如果您想进一步挖掘这些信息,它将告诉您更多有关这些漏洞的信息。这应该是一个非常容易的更新,并且如果您的站点设置为自动更新WordPress,则您可能已经收到了这些补丁和错误修复,从而使WordPress安装更加安全。
接下来,我们有上个星期报告了许多具有漏洞的插件。
首先,忍者形式。现在,Ninja Forms是用于在WordPress网站上激活表单的最受欢迎的插件之一。它已安装在全球超过一百万个WordPress网站上。Ram Gall发现了"跨站点请求伪造跨站点脚本"漏洞。Ninja Forms已经存在了一段时间,因此它具有传统模式,该模式允许用户将样式和功能恢复为插件2.9版本的样式和功能。作为此功能的一部分,它添加了几个Ajax函数,这些函数似乎旨在在传统模式和默认模式之间导入表单和字段。因此,所有这些功能都使用功能检查,因此它们正在检查使用该功能的用户是否具有使用该功能的权利或功能。
但是其中两个功能无法检查随机数,后者用于验证合法用户是否故意设置了请求,因此这为跨站点请求伪造打开了该插件。然后,该跨站点请求伪造可用于跨站点脚本编写,注入可能影响WordPress网站用户的恶意内容。现在,Ninja Forms的妙处在于,他们的网站上有一个漏洞披露表,因此,安全研究人员可以非常轻松地与插件开发团队联系,并报告可能被发现的漏洞。
我们的威胁情报团队一直在寻找可能的攻击媒介,攻击者可以利用它们进入WordPress。因此,当我们找到一个可以轻松与他们联系的插件开发人员时,这意味着该插件漏洞的修补速度将大大提高,因为我们没有试图找到合适的渠道与这些插件开发人员进行交流。许多插件开发人员都没有设置安全收件箱,而该收件箱没有我们正在与该插件开发人员进行交谈的实际证明,并且不仅向可能随后使用该漏洞的恶意攻击者报告了安全漏洞。因此,如果您是插件开发人员,那总是好事,以确保您在网站上阐明了漏洞披露表或流程,以便安全研究人员可以与您联系。
因此,该博客文章首先提供了一个指向信息的链接,首先向您展示了Ninja Forms的工作方式,同时还介绍了Hacker One所说的漏洞在网站上的重要性。
接下来,LearnPress。LearnPress是一个安装在80,000多个WordPress网站上的学习管理插件。Ram Gall还发现了LearnPress中的严重漏洞,并与该开发人员合作以确保已修复这些漏洞。这两个漏洞包括特权升级漏洞以及后期创建和修改漏洞。Wordfence Premium和免费用户当前受到保护,无法利用这些漏洞,但仍在使用最新版本的LearnPress进行补丁。
接下来,Chloe Chamberland发现了一个漏洞。这是在实时查找和替换插件中发现的跨站点请求伪造的存储跨站点脚本漏洞。它已安装在超过100,000个WordPress网站上。这是一个漂亮的插件;我没有意识到它的存在。我可以想到约100种使用方式,因此实时查找和替换提供了功能,以便您可以动态地用新内容动态替换HTML内容,以便永久更改数据库内或内部的源内容。插入。替换数据基本上只在传递到用户浏览器之前就已加载,因此可以"实时"查找和替换。
Chloe发现了此跨站点请求伪造漏洞,该缺陷允许存储跨站点脚本。它已在4.0.2版中进行了全面修补,因此,如果您正在使用此漂亮的插件,请确保将其更新为可用的最新版本。此漏洞的一大好处是,如果您使用的是Wordfence,则无论您使用的是高级版本还是免费版本,Wordfence都可以保护您免受此处的任何攻击,因为我们内置的跨站点脚本防火墙规则足以阻止任何形式的攻击。在这里剥削。
因此,我们今天讨论的一些漏洞是跨站点请求伪造漏洞。我认为,深入了解跨站点请求伪造的实质可能是有趣的。因此,从Open Web Application Security项目开始,该项目基本上定义了存在的漏洞的类型,并且它们拥有一个令人难以置信的(如果您属于信息安全领域),他们拥有一个出色的网站,您可以在其中了解有关漏洞类型的更多信息。和不同的漏洞利用。因此,跨站点请求伪造就是他们所说的:"这是一种攻击,迫使最终用户在当前经过身份验证的Web应用程序上执行不需要的操作。"
那么,这对您(网站所有者)意味着什么?这意味着,如果没有攻击者采取某种措施诱使您执行某种操作,就不会利用漏洞。现在,攻击者将如何做到这一点?好吧,让我们考虑一下攻击者可能与您通信的一些方式。如果您在网站上设置了聊天功能,他们可以通过专门设计的聊天功能向您发送消息,以利用您网站上可能存在的漏洞。他们可以再次向您发送一封带有特定链接的电子邮件,如果您单击该链接,它将执行以下操作:如果您已通过WordPress管理仪表板的身份验证,则将接管您的网站,或以某种形式发布恶意内容最终将其发布到您网站的前端。
因此,这些是针对性的攻击。攻击者必须知道您的网站上存在漏洞。这并不是一堆僵尸会一味地击中的东西。现在,僵尸程序或垃圾邮件发送者可能会向您发送一个链接,然后您可以单击该链接,该链接是经过特殊设计的,希望您已通过身份验证,然后进入WordPress管理仪表板,然后执行某种恶意操作。
因此,既然我们知道,只有在单击链接时才能利用这些类型的漏洞,这告诉您什么?如果您是WordPress管理员,那么一定要查看匿名站点访问者可能提交的所有内容,在WordPress仪表板上的注释中的注释,聊天中的内容,电子邮件中的内容。并且非常怀疑入站的任何链接。当然,请使用防火墙。并确保所有插件,主题和WordPress核心均已更新,并且跨站点请求伪造的危险性要小得多。
接下来,来自CNET的有关冠状病毒刺激骗局的故事开始浮出水面。这些骗局以各种方式出现,掠夺了毫无戒心和脆弱的人们,因此,诸如向在线慈善机构捐款,通过社交媒体向慈善机构捐款,促进众筹活动,甚至在线购买产品或以任何方式提供个人信息之类的事情已经向您承诺了与冠状病毒相关的任何形式的金钱或利益。这些警告来自FBI,因此请注意可能会骗取您情绪的任何骗局。
在本文中,他们还引用了Trustwave,该声明指出所有数据泄露事件中有33%是网络钓鱼或社会工程攻击的结果。现在,这些都是对人类的攻击,就像跨站点请求伪造攻击一样。它要求人类变得脆弱,因此安全性的大部分还是教育。教育自己。教育他人。确保您了解存在的欺诈类型并保护您的资产。
接下来,来自ZDNet的文章。谷歌表示,到2020年8月,他们将基本上从网上商店清除无用的Chrome扩展程序。Google说,由于Chrome作为顶级浏览器平台的成功,他们看到了垃圾邮件制造者和欺诈者的涌入。我总是喜欢对这些故事进行报告,以提醒您进入所有浏览器扩展,并寻找任何看起来不属于那里的东西,或者看起来不再使用的东西。就像您需要保护WordPress网站免受带有漏洞的插件的保护一样,保护您的浏览器免受任何形式的恶意行为也非常重要。Google Chrome的故事目前有超过200,000个扩展程序,因此请谨慎使用扩展程序。它们是您浏览器的一部分,因此,如果您要浏览银行帐户,
今天我们最后的故事在4月29日在ZDNet中进行了报道。英国的安全专家警告当地政府不要让冠状病毒接触者追踪应用程序进行监视。英国的170多名从事信息安全和隐私研究的研究人员签署了一份关于他们对NHS的担忧的联合声明,这是国家卫生系统计划使用接触者追踪应用程序来遏制冠状病毒爆发的计划。
当然,在美国,谷歌和苹果正在携手合作,共同开发使用蓝牙的Android和iOS设备。您需要下载一个应用才能参与其中。现在,NHS和英国政府拒绝了Apple和Google提出的旨在追踪病毒传播的联合方法。他们将在英国拥有自己的独立工具。
英国广播公司报道说,澳大利亚的COVIDSafe联系人跟踪应用程序已经下载了超过一百万次。澳大利亚总理斯科特·莫里森(Scott Morrison)表示,如果有足够的人开始使用此应用程序,则可以缓解社会限制。因此,该政府表示,必须先下载40%的人口,然后才能开始放松社会限制。
显然,我从事技术工作,而且我知道技术可以解决很多问题。我同意公共卫生是一个巨大的问题。但是我也从事安全工作,因此在这里我会引起一些争议。显然,很多人都在期待这些类型的联系人跟踪应用程序来减缓高度传染性疾病的传播。隐私和安全对我们所有人都极为重要,看到包括欧盟在内的众多政府组织提出GDPR来保护人们的个人信息的确令人振奋,在加利福尼亚州和内华达州也是如此。
在安全性方面,即使您只听过一次此播客,也已经听说过漏洞。而且您听说过发生数据泄露时的许多实例。例如,即使在澳大利亚,也存在隐私问题。政府表示,只有州卫生部门才有资格访问由COVIDSafe联系人跟踪应用程序收集的数据。听起来不错,对吧?他们将保护某些此类联系人跟踪应用程序可能收集的任何数据的隐私。听起来不错。好吧,作为一个警告性的故事,我只是想让所有人想起我们在播客第21集中报道的那个故事,边境巡逻队CBP基本上说,旅行者照片和车牌数据图像是在数据泄露中被盗的。
这些数据是通过2019年6月TechCrunch中报告的恶意网络攻击窃取的。因此,即使是这些联系人跟踪应用程序,也都有最好的意图来保护您的隐私,发生恶意攻击和破坏。我们一直都在报告。假设它们将要发生。因此,事实上,我们的政府将汇总有关我们行动的更多信息,而苹果和谷歌等这些科技巨头也将这样做,因此,它们应该保护我们的隐私是理所应当的。或者,我们需要找到其他方法来退出这种监视。
我认为COVID不会很快消失。而且我也不认为隐私的变化很快就会消失。不幸的是,数据泄露和恶意攻击也不会消失。我在伊利诺伊州北部的伊利诺伊州长大。而且到处都有收费公路。当我还是个小孩的时候,他们开始修建一条新路,并把它作为收费公路,我记得我父母在我小的时候在谈论,谈论这些通行费以及如何收取通行费以便支付这条路的费用,并且一旦支付了路费,通行费就会消失。
好吧,如果您曾经穿越伊利诺伊州北部,那么伤亡就不会发生。这些资金被重新划拨,并找到了新家。也许他们为学校或其他任何东西付费,但是这些事情消失的承诺从未实现。而且我认为这些联系人跟踪类型的应用程序将发生同样的事情。即使COVID在将来的某个时候变得不再是威胁,我认为这些类型的联系人跟踪应用程序将继续存在,并且他们还会找到其他原因。
我只是发现这是一个非常湿滑的斜坡,非常有趣。这是我颇有争议的播客,到目前为止,到2020年为止,我一直很温和,但是我们再来一次。他们总是在做某事,不是吗?
这就是我们本周在"像黑客一样思考"上为您准备的所有内容,有关WordPress,安全性和创新的播客。跟随我们在Twitter @Wordfence,并按照我在@KathyZant。在@mmaunder跟随我的老板,因为他总是有一些有趣的东西,有时他自己也会引起一些争议。
我们每个星期二的上午9:00执行Wordfence办公时间。我们正在使用YouTube而不是Zoom。好吧,我们仍将使用Zoom广播到YouTube。我们正在寻找对我们有用的最佳技术,因此我们希望您能加入我们的行列。我们会在美国东部海岸的太平洋时间每个星期二中午9:00进行此操作。