Kritiske sårbarheter i WordPress-plugins utnyttet i naturen

Bugs i WordPress tillot muligens hackere å få administratorrettigheter og rense data fra sårbare nettsteder

Bug i WordPress tillater eksterne angripere på nettstederNye kontoer med administrative rettigheter kan opprettes og brukes for fullstendig nettsideovertakelse. Hackere utnyttet aktivt kritiske feil i WordPress-plugins som tillot dem å kontrollere innholdet på nettsider fullstendig og til og med fjerne dem. En null-dagers sårbarhet ble oppdaget i ThemeREX Addons WordPress-plugin.[1] Feilen, når den utnyttes, lar angripere opprette kontoer med administrative rettigheter, slik at nettsteder kan overtas.

Den bestemte plugin-en er installert på minst 44 000 nettsteder, ifølge Wordfence-sikkerhetsfirmaet, så disse nettstedene er alle sårbare.[2] Programtillegget tilbyr 466 kommersielle WordPress-temaer og maler for salg, slik at kunder kan konfigurere og administrere temaer enklere.

Plugin-en fungerer ved å sette opp et WordPress REST-API-endepunkt, men uten å sjekke om kommandoer som sendes til denne REST-API-en kommer fra nettstedets eier eller en autorisert bruker eller ikke. Dette er hvordan ekstern kode kan bli utført av enhver uautentisert besøkende.

[3]

En annen feil som involverte WordPress-temaene ble funnet i plugins av ThemeGrill som selger nettstedstemaer til mer enn 200 000 nettsteder. Feilen tillot angripere å sende den spesielle nyttelasten til de sårbare nettstedene og utløse ønskede funksjoner etter å ha fått administratorrettigheter.[4]

Ordningen med trojaniserte WordPress-temaer som førte til kompromitterte servere

Ifølge analyse tillot slike feil å kompromittere minst 20 000 webservere over hele kloden. Det har muligens ført til skadevareinstallasjoner, ondsinnet annonseeksponering. Mer enn en femtedel av disse serverne tilhører mellomstore bedrifter som har mindre finansiering å tjene flere tilpassede nettsteder, i motsetning til større firmaer, så slike sikkerhetshendelser er også mer betydningsfulle i skader.

Å dra nytte av et så mye brukt CMS kan ha startet tilbake i 2017. Hackere kan nå sine mål og ubevisst kompromittere ulike nettsteder på grunn av ofrenes manglende sikkerhetsbevissthet. I tillegg til de nevnte sårbare plugins og andre feil, ble 30 nettsteder som tilbyr WordPress-temaer og plugins oppdaget.[5]

Trojaniserte pakker ble installert, og brukere spredte ondsinnede filer uten engang å vite at slik oppførsel lar angripere få full kontroll over webserveren. Derfra er det enkelt å legge til administratorkontoer, gjenopprette webservere og til og med få tilgang til bedriftsressurser.

I tillegg kan skadelig programvare inkludert i slike angrep:

  • kommunisere med hacker-eide C&C-servere;
  • last ned filer fra serveren;
  • legge til informasjonskapsler for å samle inn ulike besøksdata;
  • samle inn informasjon om den berørte maskinen.

Også kriminelle som er involvert i slike ordninger kan bruke søkeord, ondsinnet reklame og andre teknikker:

I mange tilfeller var annonsene fullstendig godartede og ville lede sluttbrukeren til en legitim tjeneste eller nettside. I andre tilfeller observerte vi imidlertid popup-annonser som ba brukeren om å laste ned potensielt uønskede programmer.

WordPress er verdens mest populære CMS

De siste rapportene viser at bruk av et CMS ikke lenger er valgfritt og på vei oppover. Spesielt for bedriftsbedrifter og hodeløse applikasjoner som kontrollerer innhold atskilt fra det første skjermlaget eller front-end-brukeropplevelsen.[6] Forskningen viser at sammenlignet med andre innholdsstyringssystemer har bruken av WordPress økt.

Også bedrifter har helt klart fordel av å bruke mer enn ett CMS samtidig, så denne praksisen blir mer og mer populær. Det er usedvanlig nyttig når det kommer til slike problemer med sårbarheter og feil eller andre problemer angående tjenestene, personvernet og sikkerheten til nettstedet ditt og sensitive data.

Mulige trinn

Forskere råder organisasjoner og administratorer til å:

  • unngå å bruke piratkopiert programvare;
  • aktivere og oppdatere Windows Defender eller andre AV-løsninger;
  • hold deg unna gjenbruk av passord på tvers av kontoer;
  • oppdater OS regelmessig
  • stole på patcher som er tilgjengelige for noen av disse sårbarhetene og oppdateringer for bestemte plugins.