Bleeping Computer 網(wǎng)站披露，超過(guò)百萬(wàn) WordPress 網(wǎng)站使用的 All-In-One Security（AIOS）WordPress安全插件被曝將用戶(hù)嘗試登錄的明文密碼記錄到網(wǎng)站數(shù)據(jù)庫(kù)中，此舉可能危及賬戶(hù)安全。

AIOS 是 Updraft 開(kāi)發(fā)的一體式解決方案，主要為 WordPress 網(wǎng)站提供網(wǎng)絡(luò)應(yīng)用程序防火墻、內(nèi)容保護(hù)和登錄安全工具，以阻止機(jī)器人并防止暴力攻擊。

大約在三周前，一位用戶(hù)反應(yīng) AIOS v5.1.9 插件不僅將用戶(hù)嘗試登錄記錄到 aiowps_audit_log 數(shù)據(jù)庫(kù)表中，用于跟蹤登錄、注銷(xiāo)和失敗的登錄事件，還記錄了用了輸入的密碼。該用戶(hù)擔(dān)心此舉違反了包括NIST 800-63 3、ISO 27000和GDPR在內(nèi)的多項(xiàng)安全合規(guī)標(biāo)準(zhǔn)，

1689565567_64b4b97ff31c5bf272307.png!small?1689565568131

漏洞的初步報(bào)告（wordpress.org）

接到反饋后，Updraft 方面回應(yīng)稱(chēng)該問(wèn)題是一個(gè) "已知錯(cuò)誤"，并含糊地承諾將在下一個(gè)版修復(fù)問(wèn)題。在意識(shí)到問(wèn)題的嚴(yán)重性后，Updraft 支持人員兩周前向相關(guān)用戶(hù)提供了即將發(fā)布的開(kāi)發(fā)版，但是試圖安裝開(kāi)發(fā)版的用戶(hù)仍指出密碼日志沒(méi)有被刪除。

修復(fù)程序現(xiàn)已發(fā)布

7 月 11 日，AIOS 供應(yīng)商發(fā)布了 5.2.0 版本，其中包括一個(gè)防止保存明文密碼并清除舊條目的修復(fù)程序。AIOS 供應(yīng)商在公告中一再?gòu)?qiáng)調(diào) AIOS 發(fā)布的 5.2.0 版本更新版本修復(fù)了 5.1.9 版本中存在的一個(gè)錯(cuò)誤，該錯(cuò)誤導(dǎo)致用戶(hù)密碼以明文形式添加到 WordPress 數(shù)據(jù)庫(kù)中。

一旦“惡意”網(wǎng)站管理員在用戶(hù)可能使用相同密碼的其他服務(wù)上嘗試?yán)眠@些密碼，此舉會(huì)帶來(lái)一些安全問(wèn)題。此外，一旦被暴露者的登錄信息在這些平臺(tái)上沒(méi)有受到雙因素身份驗(yàn)證的保護(hù)，“惡意”管理員就可以輕易接管用戶(hù)的賬戶(hù)。

除了“惡意”管理員帶來(lái)的安全風(fēng)險(xiǎn)外，使用 AIOS 的網(wǎng)站還將面臨黑客入侵的風(fēng)險(xiǎn)，這些黑客一旦獲得網(wǎng)站數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限，便有可能會(huì)以明文形式泄露用戶(hù)密碼。

1689565596_64b4b99c5c477911bdef9.png!small

截止到文章發(fā)布，WordPress.org 統(tǒng)計(jì)數(shù)據(jù)顯示大約四分之一的 AIOS 用戶(hù)已將更新應(yīng)用 5.2.0 版本，因此推算大概仍有超過(guò) 75 萬(wàn)個(gè)網(wǎng)站處于易受攻擊狀態(tài)。

更不幸的是，WordPress 一直以來(lái)都是網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)，一些使用 AIOS 的網(wǎng)站可能已經(jīng)被泄露，再加上該安全問(wèn)題已經(jīng)在網(wǎng)上傳播了三周多，且 Updraft 沒(méi)有警告用戶(hù)暴露風(fēng)險(xiǎn)的增加，因此，可能已經(jīng)發(fā)生了一些安全威脅事件。

最后，使用 AIOS 的網(wǎng)站應(yīng)該盡快更新到最新版本，并要求用戶(hù)重置密碼。

文章來(lái)源;https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/