Chyby ve WordPressu možná umožnily hackerům získat práva správce a vyčistit data ze zranitelných webů
Nové účty s administrátorskými právy lze vytvořit a použít pro kompletní převzetí webu. Hackeři aktivně využívali kritické chyby v pluginech WordPress, které jim umožňovaly zcela kontrolovat obsah webových stránek a dokonce je smazat. V pluginu ThemeREX Addons WordPress byla objevena zranitelnost zero-day.[1] Chyba, když je zneužita, umožňuje útočníkům vytvářet účty s administrátorskými právy, takže webové stránky mohou být převzaty.
Podle bezpečnostní firmy Wordfence je konkrétní plugin nainstalován na nejméně 44 000 webových stránkách, takže všechny tyto stránky jsou zranitelné.[2] Plugin poskytuje 466 komerčních témat a šablon WordPress k prodeji, takže zákazníci mohou motivy konfigurovat a spravovat snadněji.
Plugin funguje tak, že nastavuje koncový bod REST-API WordPress, ale bez kontroly, zda příkazy odeslané do tohoto REST API pocházejí od vlastníka webu nebo oprávněného uživatele či nikoli. Takto může vzdálený kód spustit jakýkoli neověřený návštěvník.[3]
Další chyba týkající se témat WordPress byla nalezena v zásuvných modulech ThemeGrill, která prodává témata webových stránek více než 200 000 webům. Chyba umožnila útočníkům posílat konkrétní užitečné zatížení na tyto zranitelné stránky a spouštět požadované funkce po získání práv správce.[4]
Schéma trojanizovaných témat WordPress, které vedlo ke kompromitaci serverů
Podle analýzy tyto chyby umožnily kompromitovat nejméně 20 000 webových serverů po celém světě. Pravděpodobně to vedlo k instalaci malwaru a vystavení škodlivé reklamě. Více než jedna pětina těchto serverů patří středně velkým podnikům, které mají méně finančních prostředků na výrobu více vlastních webových stránek, na rozdíl od větších firem, takže takové bezpečnostní incidenty jsou také významnější poškození.
Využívání výhod takto široce používaného CMS mohlo začít již v roce 2017. Hackeři mohou dosáhnout svých cílů a nevědomky kompromitovat různé webové stránky kvůli nedostatečnému povědomí obětí o bezpečnosti. Kromě zmíněných zranitelných pluginů a dalších nedostatků bylo objeveno 30 webů, které nabízejí WordPress témata a pluginy.[5]
Trojanizované balíčky byly nainstalovány a uživatelé šíří škodlivé soubory, aniž by věděli, že takové chování umožňuje útočníkům získat plnou kontrolu nad webovým serverem. Odtud je snadné přidat účty správce, obnovit webové servery a dokonce získat přístup k podnikovým zdrojům.
Malware zahrnutý v takových útocích navíc může:
- komunikovat se servery C&C vlastněnými hackery;
- stahování souborů ze serveru;
- přidat soubory cookie ke shromažďování různých údajů o návštěvnících;
- shromažďovat informace o postiženém stroji.
Zločinci zapojení do takových schémat mohou také používat klíčová slova, škodlivou reklamu a další techniky:
V mnoha případech byly reklamy zcela neškodné a nasměrovaly koncového uživatele na legitimní službu nebo webovou stránku. V jiných případech jsme však zaznamenali vyskakovací reklamy vyzývající uživatele ke stažení potenciálně nežádoucích programů.
WordPress je nejpopulárnější CMS na světě
Nedávné zprávy ukazují, že používání CMS již není volitelné a je na vzestupu. Zejména pro podnikové společnosti a bezhlavé aplikace, které ovládají obsah oddělený od počáteční zobrazovací vrstvy nebo uživatelského rozhraní front-end.[6] Výzkum ukazuje, že ve srovnání s jinými systémy pro správu obsahu se používání WordPressu zvýšilo.
Podniky také jednoznačně těží z používání více než jednoho CMS najednou, takže tato praxe se stává stále populárnější. To je výjimečně užitečné, pokud jde o takové problémy se zranitelnostmi a chybami nebo různé problémy týkající se služeb, soukromí a zabezpečení vašeho webu a citlivých dat.
Možné kroky
Výzkumníci radí organizacím a správcům, aby:
- vyhnout se používání pirátského softwaru;
- povolit a aktualizovat Windows Defender nebo různá AV řešení;
- vyhýbat se opakovanému používání hesel napříč účty;
- pravidelně aktualizovat OS
- spoléhat na opravy, které jsou k dispozici pro některé z těchto zranitelností a aktualizace pro konkrétní pluginy.