wordpress

Критична уязвимост в плъгина за WordPress Jupiter X Core позволява на нападатели с права на contributor или по-високи да качват злонамерени SVG файлове и да изпълняват отдалечено код. Той е използван в над 90 000 уебсайта и има CVSS оценка 8.8 от 10.

От Wordfence обясняват, че уязвимостта произтича от неправилно обработване на качените SVG файлове. Тя позволява на атакуващите да качват специално създадени такива, съдържащи PHP код. По този начин те могат да заобиколят контрола за сигурност.

Потребителите на Jupiter X Core трябва:

• незабавно да актуализират до версия 4.8.8;
• да активират автоматичните актуализации за плъгини и теми, когато е възможно, за да се предотврати използването на уязвимостта;
• редовно да одитират инсталираните плъгини и да премахват неизползваните или остарелите такива.

Плъгин за WordPress, наречена PhishWP, се използва от киберпрестъпници за създаване на фалшиви страници за плащания. Те имитират легитимни услуги като Stripe, което позволява кражба на чувствителни финансови и лични данни.

Зловредният плъгин е забелязан от SlashNext в руски форум за киберпрестъпност. Той позволява на нападателите да генерират убедителни интерфейси за плащане. По този начин те могат да крадат данни за кредитни карти, адреси за фактуриране и дори еднократни пароли от жертвите. След като информацията бъде въведена, PhishWP предава откраднатите данни директно на нападателите чрез Telegram, често в реално време.

Киберпрестъпниците внедряват PhishWP или чрез компрометиране на съществуващи WordPress сайтове, или чрез създаване на фалшиви такива. Дизайнът на плъгина възпроизвежда точно легитимни страници за плащане, което затруднява потребителите да открият измамата.

В случаите, когато има активиран 3DS код, плъгинът включва и изскачащ прозорец за попълването му. По този начин той също се изпраща към нападателят, заедно с данни като IP адрес, информация за браузъра и т.н.

Не на последно място, плъгинът включва и функционалност, която изпраща на жертвата имейл за потвърждение с данните за нейната поръчка. Тази функционалност превръща PhishWP в изключително успешен инструмент за кражба на информация.

За да се предпазите от заплахи като PhishWP, използвайте усъвършенствани софтуери за защита от фишинг, базирани на браузъра. Те откриват заплахи в реално време, като блокират злонамерени URL адреси във всички основни платформи. Освен това идентифицират опитите за фишинг преди да бъдат компрометирани чувствителни данни.

Уязвимост в плъгина за WordPress Really Simple Security позволява на потенциални нападатели пълното превземане на страници. Той е инсталиран на повече от 4 милиона уебсайта. 

Уязвимостта дава възможност на атакуващия да получи отдалечен достъп до всеки акаунт, включително администраторския, когато е активирана 2FA. Компанията за киберсигурност Wordfence я определя като „една от най-сериозните“, които са идентифицирани някога.  

Оценена с критична CVSS оценка от 9,8, тя засяга плъгините Really Simple Security Pro и Pro Multisite, версии от 9.0.0 до 9.1.1.1. 

На 12 ноември е пусната актуализирана версия 9.1.2. Два дни по-късно тя е въведена автоматично за всички сайтове, използващи плъгина. 

Все пак препоръчваме всеки администратор на WordPress сайт, който използва Really Simple Security, да се увери лично. Страниците без валиден лиценз може да нямат функциониращи автоматични актуализации. 

 

От юни 2024 досега хакери са проникнали в над 6000 сайта в WordPress в рамките на най-новата версия на кампанията за социално инженерство ClickFix.

Тя инсталира злонамерени плъгини, показващи фалшиви предупреждения за софтуерни грешки с включени поправки и покани за актуализация на браузъра. Въпросните „поправки“ и актуализации обаче са PowerShell скриптове, които инсталират зловреден софтуер за кражба на информация, предупреждават от хостинг компанията Go Daddy.  

Тези привидно легитимни плъгини са проектирани така, че да изглеждат безвредни за администраторите. Някои от тях използват имена, подобни на официални приставки като Wordfense Security и LiteSpeed Cache. 

По този начин вашият сайт може да се превърне в оръжие в ръцете на киберпрестъпници, без да имате ни най-малка представа. Съветваме ви, ако работите с WordPress, незабавно да прегледате списъка с инсталираните плъгини. Премахнете всички, които не сте инсталирали вие. 

Ако откриете подобни плъгини, трябва също така незабавно да смените паролата си за достъп до административния панел. 

 

Новооткрит зловреден софтуер се възползва от уязвимости в GLPI, система за управление на ИТ активи, и уебсайтове на WordPress, за да събира чувствителна информация от заразените устройства. 

Според компанията за киберсигурност QiAnXin DarkCracks е изключително усъвършенстван и може да остане скрит дори от най-напредналите инструменти за киберсигурност изключително дълго време. Освен че заразява устройствата, той ги използва като стартова площадка за разполагане на допълнителни зловредни компоненти и разпространение към други жертви.  

DarkCracks е проектиран за дългосрочна експлоатация и се адаптира към промените, оставайки оперативен, когато части от него са открити и премахнати. Зловредният софтуер може да функционира, дори ако основните му сървъри бъдат изведени от строя. 

За да се защитите от тази напреднала заплаха: 

• Актуализирайте редовно целия си софтуерен стак и системи, за да сте сигурни, че известните уязвимости са отстранени;  
• наблюдавайте мрежовия трафик за необичайна активност, включително неочаквани връзки към външни сървъри; 
• използвайте усъвършенстваните инструменти за откриване, способни да разпознават многопластовите техники за замаскиране на DarkCracks. 

Новооткрит критичен недостатък в сигурността на плъгина за WordPress LiteSpeed Cache позволява на неупълномощени потребители да поемат контрол над произволни акаунти. 

Уязвимостта, заведена от Patchstack като CVE-2024-44000 (CVSS оценка: 7,5), засяга версия 6.4.1. и предходни версии, но е отстранена във 6.5.0.1. Тя позволява на неоторизирани потребители достъп до системата, като в най-лошия случай те могат да получат дори администраторски права и да инсталират злонамерени плъгини. 

CVE-2024-44000 е свързана с това, че Debug Log File с име „/wp-content/debug.log“ е публично  достъпен, което дава възможност на нападателите да преглеждат потенциално чувствителна информация, съдържаща се във файла. 

LiteSpeed Cache е популярен плъгин за кеширане за екосистемата на WordPress с над 5 милиона активни инсталации. Така че, ако го използвате в някоя от засегнатите версии на платформата: 

• проверете инсталациите си за наличието на „/wp-content/debug.log“ и вземете мерки за изчистването им, ако функцията е (или е била) активирана; 
• задайте правило .htaccess, за да се забрани директният достъп до log файла. 

Последен ъпдейт на 25 ноември 2021 в 09:24 ч.

Световният хостинг лидер GoDaddy разкри на 17 ноември 2021 г., че хакер е имал достъп до сървърите му повече от два месеца, респективно до личната информация на над 1,2 млн. клиенти на WordPress:

• имейл адреси и клиентски номера
• оригиналните WordPress администраторски пароли, които GoDaddy издава на клиентите при създаване на сайт
• потребителски имена и пароли за sFTP и бази данни
• SSL частен ключ на някои клиенти

GoDaddy заяви, че вече нулира всички изложени на хака пароли (за sFTP, база данни, адмистраторски акаунти), които продължават да се използват по подразбиране. Компанията е в процес на издаване и инсталиране на нови SSL сертификати на засегнатите клиенти.

Критична уязвимост, позволяваща достъп до информация за поръчки, клиенти и административни данни на засегнатите електронни магазини е отстранена в модула за електронна търговия на WordPress – WooCommerce и свързания с него модул WooCommerce Blocks. Препоръката на създателите им е незабавен ъпдейт до версия 5.5.1.

Малко след оповестяването на новината, изтекоха и първите данни за експлоатирането ѝ в реална среда в блога на Wordfence. Т.е. уязвимостта съвсем не е безобидна и, ако още не сте ъпдейтнали магазина си – направете го максимално скоро.

Какво позволява уязвимостта

В официалната информация в блога woocommerce.com няма конкретика за това до какво точно може да доведе експлоатирането на уязвимостта. При различните магазини, „засегнатата уязвимата информация ще бъде различна[…], но може да съдържа данни за поръчки, клиенти и административни данни“, пише в съобщението. Очаква се и създаването на инструмент или набор стъпки за проверка дали магазинът ви не е сред засегнатите.

Според наше проучване, става въпрос за открита и патчната възможност за SQL инжекции в функции, свързани с филтриране на продукти. Лошата новина е, че според Wordfence уязвимостта позволява UNION-based SQL инжекция – т.е. информацията може да се извлича комбинирано от няколко таблици от базата данни едновременно, което от своя страна означава: повече щети, реализирани по-бързо.

Как да разбера дали не съм станал жертва

Точни индикации все още няма, но има фактори, по които може да съдите, че сте сред засегнатите:

• потърсете заявки, съдържащи SQL  параметри, към [highlight color=“yellow“]/wp-json/wc/store/products/collection-data[/highlight] или [highlight color=“yellow“]?rest_route=/wc/store/products/collection-data[/highlight] в логовете на сървъра си
• прегледайте и за заявки, съдържащи [highlight color=“yellow“]%2525[/highlight] също може да са индикатор за компрометиране

След появата на първите данни за успешни пробиви, става ясно, че те се случват от ограничен набор IP адрес – потърсете и тях в логовете си:

[highlight color=“yellow“]107.173.148.66
84.17.37.76
122.161.49.71[/highlight]

Какво да направя, за да се предпазя

Малко след обявяването на новината около 2:30 часа българско време на 15 юли 2021 г., автоматично са били ъпдейтнати всички сайтове, хостнати на WordPress.com и WordPress VIP. Междувременно създателите на WooCommerce – Automatic – работят за пушването на автоматичен ъпдейт на „колкото се може повече сайтове“.

Какви са промените в ъпдейта на WooCommerce вижте тук.

Засегнати са над 90 версии на WooCommerce между 3.3 и 5.5. и между 2.2 и 5.5. на WooCommerce Blocks. Вижте пълен списък със стабилните рилийзи със запушена уязвимост тук.

Към момента над 50% от сайтовете, работещи с WooCommerce, са с версия, по-стара от 5.1., а само 7.2% от сайтовете са защитени от уязвимостта (с версия над 5.5.+).

Опит за директно инжектиране на зловреден код в сорса на PHP е бил засечен и неутрализиран навреме от разработчици.

Тактиката е интересна: хакерите са се опитали да прокарат промени в сорса в официалното Git репо на PHP – git.php.net под формата на мними корекции на тайпота. Те са били пушнати в хранилището php-src така, че да изглеждат подписани от  двамата основни създатели и разработчици на PHP – Попов и Лердорф.

Целта: зловредните кодове са използвани за backdoor – задна вратичка в приложенията, написани на езика, която позволява отдалечен достъп.

PHP е един от основните езици, които все още се използват масово в интернет. На него е написана WordPress – най-големият онлайн CMS, използван в около 30% от сайтовете онлайн. Езикът е с отворен код, което означава, че всеки може да допринесе за неговото развитие. Подобно на WordPress, той има голяма потребителска база, което означава, че успешното му компрометиране би засегнало широк кръг системи (supply chain атака).

Инцидентът е дал повод на екипа по поддръжката на PHP да го премести за постоянно в GitHub, за да повиши сигурността на проекта.

Разработчиците, които досега са имали достъп до хранилищата, трябва да се присъединят към групата PHP на GitHub.

Последен ъпдейт на 5 ноември 2020 в 17:32 ч.

Бърз преглед на публикуваните в нашия блог новини показва, че периодично (поне веднъж месечно от началото на 2020 г.) ви информираме за критична уязвимост в модули на WordPress, като ви приканваме да ги актуализирате незабавно. Хакерите се възползват от популярността на WordPress (над 35% от сайтовете използват платформата) и държат на мушка хилядите налични модули, които разширяват функционалностите й – засекат ли уязвимост, задължително я експлоатират.

Критична уязвимост, открита в плъгина TI WooCommerce за WordPress, който има повече от 70 хил. активни инсталации, може да предостави на атакуващия пълен административен достъп, включително възможност за модифициране и управление на базата данни на сайта. Грешката е коригирана в последната версия (1.21.12) на TI WooCommerce.

Това е само една от поредицата  нови уязвимости на WordPress плъгини и теми, разкрити само през първата половина на октомври 2020 г. (повече по темата може да откриете тук).

Въпреки грешките на мащаба, предимствата на WordPress са много и безспорни. А най-важната препоръка как безпроблемно да се възползвате от тях е една, при това често отправяна:

Използвайте двуфакторна автентикация за вход в страницата на WordPress – това може да ви помогне да запазите собствения си уебсайт защитен, дори при наличието на уязвим плъгин, който е компрометирал данните ви за вход. И, разбира се, инсталирайте най-актуалната версия на използваните от вас модули.