Грешките в WordPress вероятно са позволили на хакерите да получат администраторски права и да изчистят данни от уязвими уебсайтове
Конкретният плъгин е инсталиран на най-малко 44 000 уебсайта, според фирмата за сигурност на Wordfence, така че всички тези сайтове са уязвими.[2] Плъгинът предоставя 466 търговски WordPress теми и шаблони за продажба, така че клиентите да могат да конфигурират и управляват теми по-лесно.
Плъгинът работи чрез настройка на крайна точка на WordPress REST-API, но без да проверява дали командите, изпратени към този REST API, идват от собственика на сайта или от упълномощен потребител или не. Ето как отдалеченият код може да бъде изпълнен от всеки неудостоверен посетител.
Друга грешка, включваща темите на WordPress, беше открита в плъгините от ThemeGrill, които продават теми за уебсайтове на повече от 200 000 сайта. Недостатъкът позволи на нападателите да изпратят конкретния полезен товар до тези уязвими сайтове и да задействат търсени функции, след като получат администраторски права.[4]
Схемата на троянизирани теми на WordPress, които доведоха до компрометирани сървъри
Според анализа, подобни недостатъци позволяват компрометиране на най-малко 20 000 уеб сървъра по целия свят. Това вероятно е довело до инсталиране на зловреден софтуер, излагане на злонамерени реклами. Повече от една пета от тези сървъри принадлежат на средни предприятия, които имат по-малко средства за правене повече персонализирани уебсайтове, за разлика от по-големите фирми, така че подобни инциденти със сигурността също са по-значими в щета.
Възползването от толкова широко използвани CMS може да е започнало още през 2017 г. Хакерите могат да постигнат целите си и несъзнателно да компрометират различни уебсайтове поради липсата на осведоменост за сигурността на жертвите. В допълнение към споменатите уязвими плъгини и други недостатъци, бяха открити 30 уебсайта, които предлагат теми и плъгини на WordPress.[5]
Инсталирани са троянизирани пакети и потребителите разпространяват злонамерени файлове, без дори да знаят, че подобно поведение позволява на нападателите да получат пълен контрол над уеб сървъра. Оттам добавянето на администраторски акаунти, възстановяването на уеб сървъри и дори получаването на достъп до корпоративни ресурси е лесно.
Освен това злонамереният софтуер, включен в такива атаки, може:
- общуват с притежавани от хакери C&C сървъри;
- изтегляне на файлове от сървъра;
- добавяне на бисквитки за събиране на различни данни за посетители;
- събира информация за засегнатата машина.
Също така престъпниците, участващи в такива схеми, могат да използват ключови думи, злонамерена реклама и други техники:
В много случаи рекламите бяха напълно безобидни и биха насочили крайния потребител към легитимна услуга или уебсайт. В други случаи обаче наблюдавахме изскачащи реклами, подканващи потребителя да изтегли потенциално нежелани програми.
WordPress е най-популярната CMS в света
Последните доклади показват, че използването на CMS вече не е по избор и се увеличава. Специално за корпоративни компании и приложения без глава, които контролират съдържание, отделено от първоначалния слой на дисплея или потребителското изживяване на предния край.[6] Изследването показва, че в сравнение с други системи за управление на съдържанието, използването на WordPress се е увеличило.
Освен това предприятията очевидно се възползват от използването на повече от една CMS наведнъж, така че тази практика става все по-популярна. Това е изключително удобно, когато става въпрос за такива проблеми с уязвимости и грешки или различни проблеми по отношение на услугите, поверителността и сигурността на вашия уебсайт и чувствителни данни.
Възможни стъпки
Изследователите съветват организациите и администраторите да:
- избягвайте използването на пиратски софтуер;
- активиране и актуализиране на Windows Defender или различни AV решения;
- стойте далеч от повторно използване на пароли в различни акаунти;
- актуализирайте ОС редовно
- разчитайте на пачове, които са налични за някои от тези уязвимости и актуализации за определени плъгини.