Luonnossa hyödynnettyjen WordPress-laajennusten kriittisiä haavoittuvuuksia

SekalaistaDec 19, 2021

WordPressin virheet mahdollistivat hakkereiden hankkimisen järjestelmänvalvojan oikeuksiin ja tietojen poistamiseen haavoittuvilta verkkosivustoilta

WordPressin bugi sallii etähyökkääjät sivustoillaUusia tilejä, joilla on järjestelmänvalvojan oikeudet, voidaan luoda ja käyttää verkkosivuston täydelliseen haltuunottoon. Hakkerit hyödynsivät aktiivisesti kriittisiä virheitä WordPress-laajennuksissa, joiden avulla he pystyivät hallitsemaan verkkosivustojen sisältöä kokonaan ja jopa tyhjentämään ne. ThemeREX Addons WordPress -laajennuksesta löydettiin nollapäivän haavoittuvuus.[1] Virhe, kun sitä käytetään hyväksi, antaa hyökkääjille mahdollisuuden luoda tilejä, joilla on järjestelmänvalvojan oikeudet, jotta verkkosivustot voidaan ottaa haltuunsa.

Wordfence-tietoturvayrityksen mukaan kyseinen laajennus on asennettu vähintään 44 000 verkkosivustolle, joten nämä sivustot ovat kaikki haavoittuvia.[2] Laajennus tarjoaa 466 kaupallista WordPress-teemaa ja -mallia myyntiin, jotta asiakkaat voivat määrittää ja hallita teemoja helpommin.

Plugin toimii määrittämällä WordPress REST-API -päätepisteen, mutta tarkistamatta, tulevatko tälle REST API: lle lähetetyt komennot sivuston omistajalta tai valtuutetulta käyttäjältä vai eivät. Näin kuka tahansa todentamaton vierailija voi suorittaa etäkoodin.

[3]

Toinen WordPress-teemoihin liittyvä virhe löydettiin ThemeGrillin laajennuksista, jotka myyvät verkkosivustoteemoja yli 200 000 sivustolle. Virhe antoi hyökkääjille mahdollisuuden lähettää tietyn hyötykuorman haavoittuville sivustoille ja käynnistää haluttuja toimintoja saatuaan järjestelmänvalvojan oikeudet.[4]

Troijalaisten WordPress-teemojen järjestelmä, joka johti vaarantuneisiin palvelimiin

Analyysin mukaan tällaiset puutteet mahdollistivat vähintään 20 000 verkkopalvelimen vaarantamisen eri puolilla maailmaa. Se on mahdollisesti johtanut haittaohjelmien asennuksiin ja haitallisten mainosten näkymiseen. Yli viidesosa näistä palvelimista kuuluu keskikokoisille yrityksille, joilla on vähemmän rahoitusta enemmän mukautettuja verkkosivustoja, toisin kuin suuremmissa yrityksissä, joten tällaiset tietoturvahäiriöt ovat myös merkittävämpiä vahingoittaa.

Tällaisen laajalti käytetyn sisällönhallintajärjestelmän hyödyntäminen saattoi alkaa jo vuonna 2017. Hakkerit voivat saavuttaa tavoitteensa ja tiedostamatta vaarantaa useita verkkosivustoja uhrien tietoturvatietoisuuden puutteen vuoksi. Mainittujen haavoittuvien lisäosien ja muiden puutteiden lisäksi löydettiin 30 WordPress-teemoja ja -laajennuksia tarjoavaa verkkosivustoa.[5]

Troijalaisia ​​paketteja asennettiin, ja käyttäjät levittävät haitallisia tiedostoja edes tietämättä, että tällaisen toiminnan avulla hyökkääjät voivat saada täyden hallinnan verkkopalvelimesta. Sieltä järjestelmänvalvojatilien lisääminen, verkkopalvelimien palauttaminen ja jopa yrityksen resurssien käyttö on helppoa.

Lisäksi tällaisiin hyökkäyksiin sisältyvät haittaohjelmat voivat:

  • kommunikoi hakkereiden omistamien C&C-palvelimien kanssa;
  • ladata tiedostoja palvelimelta;
  • lisää evästeitä keräämään erilaisia ​​vierailijatietoja;
  • kerätä tietoja kyseisestä koneesta.

Myös tällaisiin järjestelmiin osallistuvat rikolliset voivat käyttää avainsanoja, haitallista mainontaa ja muita tekniikoita:

Useissa tapauksissa mainokset olivat täysin hyväntahtoisia ja ohjasivat loppukäyttäjän lailliselle palvelulle tai verkkosivustolle. Muissa tapauksissa havaitsimme ponnahdusikkunoita, jotka kehottivat käyttäjää lataamaan mahdollisesti ei-toivottuja ohjelmia.

WordPress on maailman suosituin sisällönhallintajärjestelmä

Viimeaikaiset raportit osoittavat, että sisällönhallintajärjestelmän käyttö ei ole enää valinnaista ja lisääntyy. Erityisesti yritysyrityksille ja päättömille sovelluksille, jotka ohjaavat sisältöä, joka on erotettu alkuperäisestä näyttökerroksesta tai käyttöliittymästä.[6] Tutkimus osoittaa, että muihin sisällönhallintajärjestelmiin verrattuna WordPressin käyttö on lisääntynyt.

Myös yritykset hyötyvät selvästi useamman kuin yhden CMS: n käytöstä kerralla, joten tämä käytäntö tulee yhä suositummaksi. Se on poikkeuksellisen kätevä, kun on kyse tällaisista haavoittuvuuksista ja bugeista tai erilaisista palveluihin, yksityisyyteen ja verkkosivustosi tietoturvaan liittyvistä ongelmista ja arkaluonteisista tiedoista.

Mahdolliset vaiheet

Tutkijat neuvovat organisaatioita ja järjestelmänvalvojia:

  • vältä laittomasti valmistettujen ohjelmistojen käyttöä;
  • ottaa käyttöön ja päivittää Windows Defenderin tai erilaisia ​​AV-ratkaisuja;
  • pysy poissa salasanojen uudelleenkäytöstä eri tileillä;
  • päivitä käyttöjärjestelmä säännöllisesti
  • luottaa joihinkin näistä haavoittuvuuksista saatavilla oleviin korjaustiedostoihin ja tiettyjen laajennusten päivityksiin.