Kritikus biztonsági rések a vadonban kihasznált WordPress-bővítményekben

Vegyes CikkekDec 19, 2021

A WordPress hibái valószínűleg lehetővé tették a hackerek számára, hogy rendszergazdai jogokat szerezzenek, és eltávolítsák az adatokat a sebezhető webhelyekről

A WordPress hibája lehetővé teszi a távoli támadókat a webhelyekenÚj adminisztrátori jogokkal rendelkező fiókok hozhatók létre, és használhatók a webhely teljes átvételéhez. A hackerek aktívan kihasználták a WordPress beépülő moduljaiban található kritikus hibákat, amelyek lehetővé tették számukra a webhelyek tartalmának teljes ellenőrzését, sőt, azok eltávolítását is. Nulladik napi sebezhetőséget fedeztek fel a ThemeREX Addons WordPress beépülő moduljában.[1] A hiba kihasználása esetén lehetővé teszi a támadók számára, hogy rendszergazdai jogosultságokkal rendelkező fiókokat hozzanak létre, így a webhelyek átvehetők.

A Wordfence biztonsági cég szerint az adott bővítmény legalább 44 000 webhelyre van telepítve, így ezek a webhelyek mindegyike sebezhető.[2] A beépülő modul 466 kereskedelmi WordPress témát és sablont kínál eladásra, így az ügyfelek könnyebben konfigurálhatják és kezelhetik a témákat.

A beépülő modul egy WordPress REST-API végpont beállításával működik, de anélkül, hogy ellenőrizné, hogy az ehhez a REST API-hoz küldött parancsok a webhely tulajdonosától vagy egy jogosult felhasználótól származnak-e. Így tud távoli kódot végrehajtani bármely nem hitelesített látogató.[3]

Egy másik, a WordPress témáival kapcsolatos hibát talált a ThemeGrill bővítményeiben, amely több mint 200 000 webhelynek ad el weboldaltémákat. A hiba lehetővé tette a támadók számára, hogy elküldjék az adott hasznos terhet ezekre a sebezhető webhelyekre, és elindítsák a kívánt funkciókat, miután rendszergazdai jogokat szereztek.[4]

A trójai WordPress-témák rendszere, amely kompromittálódott szerverekhez vezetett

Az elemzések szerint az ilyen hibák legalább 20 000 webszerver veszélyeztetését tették lehetővé szerte a világon. Valószínűleg rosszindulatú programok telepítéséhez és rosszindulatú hirdetések megjelenéséhez vezetett. Ezeknek a szervereknek több mint egyötöde olyan közepes méretű vállalkozásokhoz tartozik, amelyeknek kevesebb a finanszírozása több egyedi webhely, ellentétben a nagyobb cégekkel, így az ilyen biztonsági incidensek is jelentősebbek kár.

Az ilyen széles körben használt CMS-ek kihasználása 2017-ben kezdődhetett. A hackerek elérhetik céljaikat, és tudtukon kívül kompromittálhatják a különféle webhelyeket az áldozatok biztonsági tudatosságának hiánya miatt. Az említett sebezhető bővítményeken és egyéb hibákon kívül 30 olyan webhelyet fedeztek fel, amelyek WordPress témákat és bővítményeket kínálnak.[5]

Települtek a trójai csomagok, a felhasználók pedig rosszindulatú fájlokat terjesztenek anélkül, hogy tudnák, hogy az ilyen viselkedés lehetővé teszi a támadók számára, hogy teljes irányítást szerezzenek a webszerver felett. Innentől kezdve adminisztrátori fiókok hozzáadása, webszerverek helyreállítása, sőt a vállalati erőforrásokhoz való hozzáférés is egyszerű.

Ezenkívül az ilyen támadásokban lévő rosszindulatú programok:

  • kommunikálni a hackerek tulajdonában lévő C&C szerverekkel;
  • fájlok letöltése a szerverről;
  • cookie-k hozzáadása különféle látogatói adatok gyűjtéséhez;
  • információkat gyűjthet az érintett gépről.

Ezenkívül az ilyen sémákban részt vevő bűnözők kulcsszavakat, rosszindulatú hirdetéseket és egyéb technikákat használhatnak:

Számos esetben a hirdetések teljesen jóindulatúak voltak, és a végfelhasználót egy legitim szolgáltatásra vagy webhelyre irányították. Más esetekben azonban olyan felugró hirdetéseket figyeltünk meg, amelyek potenciálisan nemkívánatos programok letöltésére késztették a felhasználót.

A WordPress a világ legnépszerűbb CMS-je

A legutóbbi jelentések azt mutatják, hogy a CMS használata már nem kötelező, és egyre növekszik. Különösen nagyvállalati vállalatok és fej nélküli alkalmazások számára, amelyek a kezdeti megjelenítési rétegtől vagy a felhasználói élménytől elkülönítve vezérlik a tartalmat.[6] A kutatás azt mutatja, hogy más tartalomkezelő rendszerekhez képest a WordPress használata megnövekedett.

Emellett a vállalkozások egyértelműen előnyösek, ha egyszerre több CMS-t használnak, így ez a gyakorlat egyre népszerűbbé válik. Ez különösen hasznos, ha a sebezhetőségekkel és hibákkal kapcsolatos problémákról vagy a szolgáltatásokkal, a személyes adatok védelmével és a webhely és az érzékeny adatok biztonságával kapcsolatos problémákról van szó.

Lehetséges lépések

A kutatók a következőket tanácsolják a szervezeteknek és a rendszergazdáknak:

  • kerülje a kalóz szoftverek használatát;
  • a Windows Defender vagy különböző AV-megoldások engedélyezése és frissítése;
  • kerülje a jelszavak több fiókban való újrahasználatát;
  • rendszeresen frissítse az operációs rendszert
  • támaszkodhat a sérülékenységek némelyikéhez elérhető javításokra és bizonyos bővítmények frissítéseire.