攻击者在现场所有者可以激活安装向导之前弹跳
攻击者正在虐待证书透明度(CT)系统在配置内容管理系统(CMS)之前通常短暂的时间窗口中妥协新的WordPress站点。
CT是用于监视和beplay体育能用吗审核的网络安全标准TLS(又名SSL)证书,由证书局(CAS)颁发以验证网站的身份。beplay体育能用吗
首先由Digicert CA在2013年,标准要求CAS立即以透明度的利益和迅速发现流氓或滥用证书的利益记录所有新发行的证书。
DDOS攻击
但是,有证据表明,恶意黑客正在监视这些日志以检测新的日志WordPress域并在Web Admins上传WordPress文件后自行配置CMS,但是在他们设法使用密码保beplay体育能用吗护网站之前。
出现了多个证词,详细说明了几分钟之内被黑客入侵 -在几秒钟内,甚至是要求的TLS证书。
有关的“危险”欧盟Web身份验证计划beplay体育能用吗威胁要削弱浏览器主导的认证系统
域所有者报告恶意文件的外观(/wp-includes/.query.php),然后按下加入DDOS攻击的站点。
在相关线程在Let's Encrypt的支持论坛上,签发免费证书的CA和启动了自己的CT日志2019年,一位Certbot工程师说,这些袭击已经“发生了几年”。
侦察技术
互联网安全研究小组执行董事乔什·AAS(Josh AAS)正在加密我们的加密,它同意工程师对攻击者侦察技术的猜测。
“如果攻击者直接对CT日志进行轮询,他们会更快地看到新的证书条目,从而为他们提供更大的时间窗口,可以在其中进行攻击,” AAS告诉每日swbeplay2018官网ig。扫描CRT.SH,证书搜索域,“也可能起作用,但新证书从CT传播需要更长的时间”。
毫无疑问,攻击反映了CT系统中的缺点,根据我们的加密“导致了CA生态系统和网络安全的大量改进”,并且“正在迅速成为关键的基础架构”。beplay体育能用吗
AAS表示,所有公开信任的CAS都必须“在签发后毫不延迟”向CT日志提交证书。
自动化的论点
他建议,保护新的WordPress网站的责任最终在于域所有者和托管提供商。
“从让我们加密获得证书可能会使检测新的安装更加容易,但是没有人应该在公共互联网上放置WordPress安装,直到获得保护为止。如果托管提供商或任何其他实体正在这样做,请在其部署过程中报告为漏洞。”
Automattic WordPress项目执行董事Josepha Haden告诉每日swbeplay2018官网igthat the attacks “only affects direct installations – if a site is on any recommended host, or the installation process is automated, there is usually a pre-configured config file so the installation process is complete/is not interactive and there’s little chance for that attack”.
在最近的一个博客文章关于该主题,基于科罗拉多州的Web设计公司White Fibeplay体育能用吗r Design建议WordPress可以一开始就将域名所有者“控制网站控制”来解决问题,“说,添加[模板]文件”。
在Let's Encrypt论坛上,Let's Geypt Windows UI的开发人员Christopher Cook证明了网络,beplay体育能用吗建议的该WordPress“可以随机将安装URL随机化,并仅在控制台中向您展示,或者需要一次令牌”。
约瑟夫·哈登(Josepha Haden)承认,WordPress需要“回顾这个问题。核心团队意识到并讨论最佳的变化以及最佳时机,因为我们在今年剩余时间里继续发行的其余部分。”她说。
