CVE-2020-35489:Contact Form 7插件中的不受限制文件上傳漏洞
漏洞概述
眾所周知,Contact Form 7是一款非常受歡迎的WordPress插件。但是根據(jù)安全研究專家的最新發(fā)現(xiàn),Contact Form 7中存在一個(gè)不受限制的文件上傳漏洞。這個(gè)漏洞被標(biāo)記為了高危漏洞,目前存在漏洞的Contact Form 7插件已經(jīng)安裝在了500多萬個(gè)網(wǎng)站上,使得這些網(wǎng)站將成為攻擊者嚴(yán)重的“香餑餑”。在該漏洞的幫助下,攻擊者將能夠?qū)δ繕?biāo)站點(diǎn)執(zhí)行網(wǎng)絡(luò)釣魚、網(wǎng)站接管、數(shù)據(jù)竊取和Credit卡欺詐等攻擊活動(dòng)。
在這篇文章中,我們將介紹并分析該漏洞的成因,并給出針對(duì)該漏洞的概念驗(yàn)證PoC以及緩解方案。
Contact Form 7插件
關(guān)于該插件的信息,我們直接引用該插件官方文檔給出的介紹:
Contact Form 7是一款免費(fèi)的wordpress聯(lián)系表單插件,簡稱CF7,在WP官方的插件排行榜里排名第一,也是表單插件里最受歡迎的插件之一。該插件可以管理多個(gè)聯(lián)系人表單,并且可以通過簡單的標(biāo)記靈活地定制表單和郵件內(nèi)容。
漏洞介紹
國家漏洞數(shù)據(jù)庫(NVD)目前已將該漏洞標(biāo)記為了CVE-2020-35489,相關(guān)漏洞描述如下:
- WordPress的Contact Form 7插件(版本低于v5.3.2)將允許攻擊者實(shí)現(xiàn)不受限制的文件上傳和遠(yuǎn)程代碼執(zhí)行(由于文件名中可能包含特殊字符)。
- 該插件允許WP管理員在自己的網(wǎng)站上創(chuàng)建聯(lián)系人表單,網(wǎng)站用戶可以在表單中輸入相關(guān)聯(lián)系信息以獲取技術(shù)支持或獲取反饋信息。
- 惡意用戶可以通過上傳一個(gè)文件名中包含了雙擴(kuò)展名的文件來利用該漏洞,文件名由不可打印或特殊字符分隔,比如“說php .jpg”(\t字符是分隔符)。
接下來,Contact Form 7并不會(huì)從上傳文件的文件名中移除這些字符,并且會(huì)解析包含第一個(gè)擴(kuò)展名在內(nèi)的之前的文件名,而分隔符會(huì)導(dǎo)致Contact Form 7無法解析后續(xù)的擴(kuò)展名。因此,最后的文件名就變成了“php”。
而攻擊者將能夠通過遠(yuǎn)程代碼執(zhí)行在服務(wù)器中訪問或執(zhí)行此文件。
關(guān)于Contact Form 7的源代碼,感興趣的同學(xué)可以點(diǎn)擊【這里】查看托管在GitHub上的源代碼。
因此,攻擊者將能夠利用漏洞CVE-2020–35498對(duì)目標(biāo)站點(diǎn)產(chǎn)生嚴(yán)重的安全影響。
漏洞利用PoC
注意,我們還不能公開披露該漏洞的相關(guān)技術(shù)和利用細(xì)節(jié),因?yàn)楣俜降腜oC尚未發(fā)布。而且在2020年12月31日之前,我們還要給供應(yīng)商和廣大用戶一定的時(shí)間來進(jìn)行更新。
在這里,我將在本地配置一個(gè)WordPress站點(diǎn),并演示如何利用該漏洞。我將使用Contact Form 7 v5.3.1版本的插件來演示該漏洞的利用方法,因?yàn)檫@個(gè)漏洞已在2020年12月17日發(fā)布的5.3.2版本中進(jìn)行了修復(fù)。
環(huán)境配置
首先,我們需要下載、導(dǎo)入、安裝并激活該插件:
此時(shí),Contact Form 7插件已經(jīng)安裝并激活陳公公了。
第二步,我們要在WordPress側(cè)邊欄中找到“Contact”標(biāo)簽,然后點(diǎn)擊“Add New”按鈕來創(chuàng)建一個(gè)新的表單。
接下來,為了進(jìn)行漏洞演示,我創(chuàng)建了一個(gè)“Job Application Form”表單,這個(gè)表單提供了一個(gè)文件上傳的功能支持。
最后,將這個(gè)表單添加至一個(gè)頁面中并發(fā)布。
攻擊場景
我們?cè)L問這個(gè)新建的頁面,然后在表單中文件上傳部分上傳一個(gè)文件名為“exploit.php .jpg”的文件。
我們的惡意文件此時(shí)將會(huì)被成功上傳至服務(wù)器。
點(diǎn)擊“Submit”按鈕,我們將會(huì)收到服務(wù)器端返回的上傳響應(yīng),表明我們的文件已經(jīng)成功上傳了,文件名為“exploit.php”。接下來,我們將能夠通過任意代碼執(zhí)行在服務(wù)器中訪問或執(zhí)行此文件了。
文件的默認(rèn)上傳路徑為“wp-content/uploads”,但是可以通過下列方式來修改文件上傳路徑(WPCF7_UPLOADS_TMP_DIR):
- define( 'WPCF7_UPLOADS_TMP_DIR', '/your/file/path' );
漏洞影響
通過利用該漏洞,攻擊者可以直接上傳任意類型的文件,并繞過目標(biāo)站點(diǎn)部署的上傳文件類型限制,其后果可能但不限于:
- 接管整個(gè)網(wǎng)站;
- 惡意軟件感染,竊取Credit卡信息,將用戶重定向至惡意頁面;
- 網(wǎng)絡(luò)釣魚攻擊;
- 獲取目標(biāo)服務(wù)器文件系統(tǒng)和數(shù)據(jù)庫信息;
- 插入后門程序;
- ......
漏洞緩解
進(jìn)入WordPress插件功能頁面中,將該插件版本更新至v5.3.2或更新版本。除此之外,我們還可以使用WordPress安全漏洞掃描器-WPSec來掃描和監(jiān)控我們的WordPress站點(diǎn)。運(yùn)行WPSec之后,我們將看到如下圖所示的輸出內(nèi)容:
實(shí)際上,類似的漏洞經(jīng)常都會(huì)常出現(xiàn)。因此我們建議廣大用戶盡量定期手動(dòng)對(duì)插件進(jìn)行更新。除此之外,我們還應(yīng)該禁止uploads文件夾內(nèi)的PHP代碼執(zhí)行功能。如果使用的是Nginx,可以在配置文件中添加下列內(nèi)容來禁用PHP代碼執(zhí)行功能:
- location ^~ /wp-content/uploads/ {
- }
對(duì)于Apache Web服務(wù)器,我們不建議通過在uploads文件夾中放置.htaccess文件來防止PHP代碼執(zhí)行,因?yàn)楣粽吆芸赡軙?huì)使用上述漏洞覆蓋此文件。我們可以使用Apache配置文件來阻止執(zhí)行,但這在共享宿主環(huán)境中可能是一個(gè)問題。同時(shí),我們可以將AllowOverride設(shè)置為None以防止.htaccess文件覆蓋設(shè)置。
