Wordfence的研究人員在Facebook for WordPress插件中發(fā)現(xiàn)了兩個(gè)漏洞，該漏洞有超過(guò)500,000次有效安裝。該插件使管理員可以捕獲人們?cè)谂c頁(yè)面交互時(shí)所執(zhí)行的操作，例如Lead、ViewContent、AddToCart、InitiateCheckout和Purchase事件。

“2020年12月22日，我們的威脅情報(bào)團(tuán)隊(duì)負(fù)責(zé)地披露了Facebook for WordPress的一個(gè)漏洞，該漏洞以前被稱為Official Facebook Pixel，這是一個(gè)安裝在500,000多個(gè)站點(diǎn)上的WordPress插件。”WordFence發(fā)布的帖子上如此寫(xiě)道，“此缺陷使未經(jīng)身份驗(yàn)證的攻擊者可以訪問(wèn)站點(diǎn)的加密salt值和密鑰，從而通過(guò)反序列化漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。”

這個(gè)漏洞被描述為帶有POP鏈的PHP對(duì)象注入，未經(jīng)身份驗(yàn)證的攻擊者可能會(huì)利用此漏洞來(lái)訪問(wèn)站點(diǎn)的機(jī)密和密鑰，并利用反序列化漏洞來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

攻擊者只能使用有效的nonce來(lái)利用此問(wèn)題，因?yàn)閔andle_postback函數(shù)需要有效的隨機(jī)數(shù)。

“PHP對(duì)象注入漏洞的核心是在run_action()函數(shù)中，此函數(shù)旨在從event_data POST變量中反序列化用戶數(shù)據(jù)，以便將數(shù)據(jù)發(fā)送到pixel控制臺(tái)。不幸的是，該event_data可能是由用戶提供。”帖子中繼續(xù)寫(xiě)道，“當(dāng)用戶提供的輸入在PHP中反序列化時(shí)，用戶可以提供PHP對(duì)象，這些對(duì)象可以觸發(fā)魔術(shù)方法并執(zhí)行可用于惡意目的的操作。”

專家指出，即使反序列化漏洞與gadget或魔術(shù)方法結(jié)合使用時(shí)可能相對(duì)無(wú)害，也它也會(huì)對(duì)站點(diǎn)造成重大破壞，因?yàn)閷acebook for WordPress中的漏洞可以與魔術(shù)方法結(jié)合使用，上傳任意文件并執(zhí)行遠(yuǎn)程代碼。

“這意味著攻擊者可以在易受攻擊的站點(diǎn)的主目錄中生成包含內(nèi)容的PHP文件new.php。PHP文件的內(nèi)容可以任意更改，例如更改為允許攻擊者實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。”Wordfence說(shuō)道。

該漏洞被評(píng)為嚴(yán)重危險(xiǎn)程度，其CVSS評(píng)分為9分(滿分10分)。

專家于12月22日向該社交網(wǎng)絡(luò)巨頭報(bào)告了該漏洞，于1月6日修復(fù)了該漏洞，并發(fā)布了新版本。

Facebook修復(fù)了該漏洞之后，安全研究人員在更新的插件中發(fā)現(xiàn)了“跨站點(diǎn)請(qǐng)求偽造到存儲(chǔ)的跨站點(diǎn)腳本”漏洞。該漏洞被評(píng)為高度危險(xiǎn)程度，其CVSS評(píng)分為8.8。該漏洞已于1月27日?qǐng)?bào)告給Facebook，并于2021年2月26日得到解決。

“他們?cè)诟虏寮r(shí)所做的一項(xiàng)更改解決了保存插件設(shè)置背后的功能問(wèn)題，這被轉(zhuǎn)換為AJAX操作，以使集成過(guò)程更加無(wú)縫。新版本引入了與saveFbeSettings函數(shù)關(guān)聯(lián)的wp_ajax_save_fbe_settings AJAX操作。”“此函數(shù)用于通過(guò)Facebook Pixel ID、訪問(wèn)令牌和外部業(yè)務(wù)密鑰更新插件的設(shè)置。這些設(shè)置有助于與Facebook pixel控制臺(tái)建立連接，以便可以將事件數(shù)據(jù)從WordPress網(wǎng)站發(fā)送到相應(yīng)的Facebook pixel帳戶。”

攻擊者可以利用此問(wèn)題來(lái)更新插件的設(shè)置并竊取網(wǎng)站的指標(biāo)數(shù)據(jù)，還可以將惡意JavaScript代碼注入到設(shè)置值中。

然后，這些值將反映在“設(shè)置”頁(yè)面上，從而使代碼在訪問(wèn)設(shè)置頁(yè)面時(shí)在站點(diǎn)管理員的瀏覽器中執(zhí)行。專家發(fā)現(xiàn)，這些代碼可能被用來(lái)向主題文件中注入惡意后門(mén)，或者創(chuàng)建新的管理用戶帳戶，從而接管網(wǎng)站。

本文翻譯自：https://securityaffairs.co/wordpress/116063/social-networks/facebook-wordpress-plugin-attacks.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。