WordPressi vead võimaldasid häkkeritel hankida administraatoriõigused ja puhastada andmed haavatavatelt veebisaitidelt
Uusi administraatoriõigustega kontosid saab luua ja kasutada veebisaidi täielikuks ülevõtmiseks. Häkkerid kasutasid aktiivselt WordPressi pistikprogrammide kriitilisi vigu, mis võimaldasid neil veebisaitide sisu täielikult kontrollida ja need isegi kustutada. ThemeREX Addons WordPressi pistikprogrammis avastati nullpäeva haavatavus.[1] Kui seda viga kasutatakse, saavad ründajad luua administraatoriõigustega kontosid, nii et veebisaite saab üle võtta.
Wordfence'i turvafirma andmetel on konkreetne pistikprogramm installitud vähemalt 44 000 veebisaidile, seega on need saidid kõik haavatavad.[2] Pistikprogramm pakub müügiks 466 kaubanduslikku WordPressi teemat ja malli, et kliendid saaksid teemasid hõlpsamini seadistada ja hallata.
Pistikprogramm töötab WordPressi REST-API lõpp-punkti seadistamise teel, kuid ei kontrolli, kas sellele REST API-le saadetud käsud pärinevad saidi omanikult või volitatud kasutajalt või mitte. Nii saavad kaugkoodi käivitada kõik autentimata külastajad.
[3]Veel ühe WordPressi teemadega seotud vea leidis pistikprogrammidest ThemeGrill, mis müüb veebisaidi teemasid enam kui 200 000 saidile. Viga võimaldas ründajatel saata nendele haavatavatele saitidele konkreetne kasulik koormus ja käivitada soovitud funktsioone pärast administraatoriõiguste saamist.[4]
Troojastatud WordPressi teemade skeem, mis viis serverite ohtu
Analüüsi kohaselt võimaldasid sellised vead ohustada vähemalt 20 000 veebiserverit üle kogu maailma. Võimalik, et see on kaasa toonud pahavara installimise ja pahatahtlike reklaamide eksponeerimise. Rohkem kui viiendik neist serveritest kuulub keskmise suurusega ettevõtetele, kellel on vähem rahalisi vahendeid rohkem kohandatud veebisaite, erinevalt suurematest ettevõtetest, seega on sellised turvaintsidendid ka olulisemad kahju.
Sellise laialdaselt kasutatava CMS-i ärakasutamine võis alata juba 2017. aastal. Häkkerid võivad ohvrite turvateadlikkuse puudumise tõttu oma eesmärke saavutada ja enese teadmata ohustada erinevaid veebisaite. Lisaks mainitud haavatavatele pistikprogrammidele ja muudele vigadele avastati 30 veebisaiti, mis pakuvad WordPressi teemasid ja pistikprogramme.[5]
Troojastatud paketid installiti ja kasutajad levitavad pahatahtlikke faile, isegi teadmata, et selline käitumine võimaldab ründajatel saavutada täielik kontroll veebiserveri üle. Sealt on administraatorikontode lisamine, veebiserverite taastamine ja isegi ettevõtte ressurssidele juurdepääs lihtne.
Lisaks võib sellistes rünnetes sisalduv pahavara:
- suhelda häkkerite omanduses olevate C&C serveritega;
- failid serverist alla laadida;
- lisada küpsiseid erinevate külastajaandmete kogumiseks;
- koguda teavet mõjutatud masina kohta.
Samuti võivad selliste skeemidega seotud kurjategijad kasutada märksõnu, pahatahtlikku reklaami ja muid tehnikaid:
Paljudel juhtudel olid reklaamid täiesti healoomulised ja suunasid lõppkasutaja seaduslikule teenusele või veebisaidile. Muudel juhtudel täheldasime aga hüpikreklaame, mis kutsusid kasutajat alla laadima potentsiaalselt soovimatuid programme.
WordPress on maailma populaarseim CMS
Hiljutised aruanded näitavad, et CMS-i kasutamine ei ole enam valikuline ja kasvab. Eriti ettevõtetele ja peata rakendustele, mis juhivad sisu, mis on eraldatud algsest kuvakihist või esiotsa kasutajakogemusest.[6] Uuringud näitavad, et võrreldes teiste sisuhaldussüsteemidega on WordPressi kasutamine suurenenud.
Samuti saavad ettevõtted selgelt kasu rohkem kui ühe CMS-i korraga kasutamisest, seega muutub see tava üha populaarsemaks. See on erakordselt mugav, kui tegemist on haavatavuste ja vigadega seotud probleemidega või erinevate teenustega, teie veebisaidi privaatsuse ja turvalisusega ning tundlike andmetega seotud probleemidega.
Võimalikud sammud
Teadlased soovitavad organisatsioonidel ja administraatoritel:
- vältige piraattarkvara kasutamist;
- Windows Defenderi või erinevate AV-lahenduste lubamine ja värskendamine;
- hoiduge kontode paroolide taaskasutamisest;
- värskendage OS-i regulaarselt
- tugineda paikadele, mis on saadaval mõnede nende haavatavuste jaoks, ja teatud pistikprogrammide värskendustele.