Компания Duo Security, специализирующаяся на двухфакторной аутентификации, признала на прошлой неделе, что обнаружила уязвимость в своем плагине для WordPress (duo_wordpress), которая может позволить пользователю обойти двухфакторную аутентификацию (2FA) в многосайтовой сети.

Джон Оберхейде, один из основателей Duo, подчеркнул, что проблема актуальна только для пользователей с многосайтовой инсталляцией WordPress с включенной 2FA. Пользователи, установившие плагин в универсальной инсталляции (и включившие его для всех инсталляций) на своих сайтах, риску не подвержены.

Если у пользователя на сайте установлена 2FA, у него запросят как основные параметры аутентификации (имя пользователя и пароль), так и второй фактор. Но если в той же многосайтовой сети имеется другой сайт, пользователь с первого сайта сможет зайти на второй сайт, и у него запросят только основные параметры. Если они у него есть, он будет аутентифицирован и перенаправлен назад на первый сайт без запроса 2FA. Второй фактор полностью обходится.

Оберхейде описал эффекты уязвимости в списке в своем посте, для того чтобы опровергнуть ложные сведения, успевшие получить распространение:

  • Только инсталляции Multisite с установленным на отдельных сайтах плагином подвержены уязвимости.
  • Нормальные инсталляции или многосайтовые, где плагин включен глобально, НЕ подвержены.
  • Пользователь в любом случае должен ввести корректные первичные данные (то есть имя пользователя и пароль); обходится лишь второй фактор.

Duo обнаружили уязвимость и огласили сведения о ней внутри компании в начале этого месяца до выпуска сообщения на прошлой неделе. В данный момент уязвимости подвержен плагин версии 1.8.1 и более ранних.

Оберхейде написал, что Duo собирает патч и работает совместно с WordPress, но предположил, что потребуется «модификация ядра» для того, чтобы платформа могла работать с плагином так, чтобы устранить проблему.

Проблема актуальна не только для плагинов Duo, но также присутствует у других вендоров двухфакторной аутентификации. Обехейде и компания заявили, что они уведомили соответствующих вендоров и они уже работают над патчами.

В то же время Duo призывает пользователей с установленным duo_wordpress на многосайтовых инсталляциях включить плагин глобально, а затем отключить для определенных ролей пользователя, до выпуска исправления. Пользователям, использующим другой плагин двухфакторной аутентификации для WordPress, стоит узнать, планирует ли выпуск патча поставщик их плагина.

Категории: Уязвимости