פגיעויות קריטיות בתוספי וורדפרס המנוצלים בטבע

MiscellaneaDec 19, 2021
click fraud protection

באגים בוורדפרס אפשרו אולי להאקרים להשיג זכויות אדמין ולנקות נתונים מאתרים פגיעים

באג בוורדפרס מאפשר תוקף מרחוק באתריםניתן ליצור חשבונות חדשים עם זכויות ניהול ולהשתמש בהם להשתלטות מלאה על האתר. האקרים ניצלו באופן פעיל באגים קריטיים בתוספים של וורדפרס שאפשרו להם לשלוט לחלוטין בתוכן של אתרים ואף לנקות אותם. פגיעות של יום אפס התגלתה בתוסף ThemeREX Addons WordPress.[1] הפגם, כאשר הוא מנוצל, מאפשר לתוקפים ליצור חשבונות עם הרשאות ניהול, כך שניתן להשתלט על אתרים.

התוסף המסוים מותקן בלפחות 44,000 אתרי אינטרנט, לפי חברת האבטחה Wordfence, כך שאתרים אלה פגיעים כולם.[2] התוסף מספק 466 ערכות נושא ותבניות וורדפרס מסחריות למכירה, כך שלקוחות יכולים להגדיר ולנהל ערכות נושא בצורה קלה יותר.

התוסף פועל על ידי הגדרת נקודת קצה של WordPress REST-API, אך מבלי לבדוק אם פקודות שנשלחות אל REST API זה מגיעות מבעל האתר או ממשתמש מורשה או לא. כך קוד מרחוק יכול להתבצע על ידי כל מבקר לא מאומת.[3]

באג נוסף הכולל את ערכות הנושא של וורדפרס נמצא בתוספים של ThemeGrill שמוכר ערכות נושא של אתרים ליותר מ-200,000 אתרים. הפגם אפשר לתוקפים לשלוח את המטען המסוים לאותם אתרים פגיעים ולהפעיל פונקציות מבוקשות לאחר השגת זכויות מנהל.[4]

התוכנית של ערכות נושא של וורדפרס בטרויאניות שהובילה לשרתים שנפגעו

לפי ניתוח, פגמים כאלה אפשרו להתפשר על לפחות 20,000 שרתי אינטרנט בכל רחבי העולם. זה אולי הוביל להתקנות תוכנות זדוניות, חשיפת מודעות זדונית. יותר מחמישית מהשרתים הללו שייכים לעסקים בינוניים שיש להם פחות מימון יותר אתרים מותאמים אישית, בניגוד לחברות גדולות יותר, כך שאירועי אבטחה כאלה גם משמעותיים יותר נֵזֶק.

יתכן שהיתרון של CMS בשימוש נרחב החל כבר ב-2017. האקרים יכולים להשיג את מטרותיהם ולהתפשר מבלי לדעת אתרים שונים עקב חוסר מודעות אבטחה של הקורבנות. בנוסף לתוספים הפגיעים שהוזכרו ולפגמים אחרים, התגלו 30 אתרים המציעים ערכות נושא ותוספים של וורדפרס.[5]

חבילות טרויאניות הותקנו, ומשתמשים הפיצו קבצים זדוניים מבלי לדעת שהתנהגות כזו מאפשרת לתוקפים להשיג שליטה מלאה על שרת האינטרנט. משם, הוספת חשבונות ניהול, שחזור שרתי אינטרנט ואפילו קבלת גישה למשאבים ארגוניים היא קלה.

בנוסף, תוכנות זדוניות הנכללות בהתקפות כאלה יכולות:

  • לתקשר עם שרתי C&C בבעלות האקרים;
  • הורדת קבצים מהשרת;
  • להוסיף עוגיות כדי לאסוף נתוני מבקרים שונים;
  • לאסוף מידע על המכונה המושפעת.

כמו כן, פושעים המעורבים בתוכניות כאלה יכולים להשתמש במילות מפתח, פרסום זדוני וטכניקות אחרות:

במקרים רבים, הפרסומות היו שפירות לחלוטין והפנו את משתמש הקצה לשירות או לאתר לגיטימיים. עם זאת, במקרים אחרים, ראינו מודעות קופצות המניעות את המשתמש להוריד תוכניות שעלולות להיות לא רצויות.

וורדפרס היא מערכת ה-CMS הפופולרית ביותר בעולם

הדוחות האחרונים מראים ששימוש ב-CMS אינו אופציונלי יותר ובעלייה. במיוחד עבור חברות ארגוניות ואפליקציות חסרות ראש השולטות בתכנים המופרדים משכבת ​​התצוגה הראשונית או מחוויית המשתמש הקדמית.[6] המחקר מראה כי בהשוואה למערכות ניהול תוכן אחרות, השימוש בוורדפרס גדל.

כמו כן, ארגונים מרוויחים בבירור משימוש ביותר מ-CMS אחד בו-זמנית, כך שנוהג זה הופך יותר ויותר פופולרי. זה שימושי במיוחד כשמדובר בבעיות כאלה עם פגיעויות ובאגים או בעיות שונות לגבי השירותים, הפרטיות והאבטחה של האתר שלך ונתונים רגישים.

צעדים אפשריים

חוקרים מייעצים לארגונים ולמנהלים:

  • להימנע משימוש בתוכנה פיראטית;
  • הפעל ועדכן את Windows Defender או פתרונות AV שונים;
  • התרחק משימוש חוזר בסיסמאות בין חשבונות;
  • עדכן את מערכת ההפעלה באופן קבוע
  • להסתמך על תיקונים הזמינים עבור חלק מאותן פגיעויות ועדכונים עבור תוספים מסוימים.