Błędy w WordPressie prawdopodobnie umożliwiły hakerom uzyskanie praw administratora i usunięcie danych z podatnych na ataki witryn
Według firmy zajmującej się bezpieczeństwem Wordfence, konkretna wtyczka jest zainstalowana na co najmniej 44 000 stronach internetowych, więc wszystkie te strony są podatne na ataki.[2] Wtyczka udostępnia do sprzedaży 466 komercyjnych motywów i szablonów WordPress, dzięki czemu klienci mogą łatwiej konfigurować i zarządzać motywami.
Wtyczka działa poprzez skonfigurowanie punktu końcowego REST-API WordPress, ale bez sprawdzania, czy polecenia wysyłane do tego interfejsu API REST pochodzą od właściciela witryny lub autoryzowanego użytkownika, czy nie. W ten sposób zdalny kod może zostać wykonany przez każdego nieuwierzytelnionego gościa.
[3]Kolejny błąd dotyczący motywów WordPress został znaleziony we wtyczkach firmy ThemeGrill, która sprzedaje motywy witryn do ponad 200 000 witryn. Ta usterka umożliwiała atakującym wysyłanie określonego ładunku do tych podatnych na ataki witryn i uruchamianie pożądanych funkcji po uzyskaniu uprawnień administratora.[4]
Schemat trojanizowanych motywów WordPress, które doprowadziły do zhakowania serwerów
Według analizy, takie wady pozwoliły na skompromitowanie co najmniej 20 000 serwerów internetowych na całym świecie. Prawdopodobnie doprowadziło to do instalacji złośliwego oprogramowania, ekspozycji złośliwych reklam. Ponad jedna piąta tych serwerów należy do średnich firm, które mają mniej środków na zarobienie więcej niestandardowych stron internetowych, w przeciwieństwie do większych firm, więc takie incydenty bezpieczeństwa są również bardziej znaczące w szkoda.
Korzystanie z tak szeroko stosowanego CMS mogło rozpocząć się już w 2017 roku. Hakerzy mogą osiągać swoje cele i nieświadomie narażać różne strony internetowe z powodu braku świadomości bezpieczeństwa ofiar. Oprócz wspomnianych podatnych na ataki wtyczek i innych wad, odkryto 30 stron internetowych oferujących motywy i wtyczki WordPress.[5]
Zainstalowano trojańskie pakiety, a użytkownicy rozprzestrzeniają złośliwe pliki, nawet nie wiedząc, że takie zachowanie umożliwia atakującym uzyskanie pełnej kontroli nad serwerem sieciowym. Stamtąd dodawanie kont administratorów, odzyskiwanie serwerów internetowych, a nawet uzyskiwanie dostępu do zasobów firmowych jest łatwe.
Dodatkowo złośliwe oprogramowanie objęte takimi atakami może:
- komunikować się z serwerami C&C należącymi do hakerów;
- pobierać pliki z serwera;
- dodać pliki cookie, aby zbierać różne dane odwiedzających;
- zebrać informacje o zaatakowanej maszynie.
Ponadto przestępcy zaangażowani w takie schematy mogą używać słów kluczowych, złośliwych reklam i innych technik:
W wielu przypadkach reklamy były całkowicie niegroźne i kierowały użytkownika końcowego do legalnej usługi lub strony internetowej. Jednak w innych przypadkach zaobserwowaliśmy wyskakujące reklamy zachęcające użytkownika do pobrania potencjalnie niechcianych programów.
WordPress to najpopularniejszy CMS na świecie
Ostatnie raporty pokazują, że korzystanie z CMS nie jest już opcjonalne i rośnie. Szczególnie dla firm korporacyjnych i aplikacji bezgłowych, które kontrolują zawartość oddzieloną od początkowej warstwy wyświetlania lub interfejsu użytkownika.[6] Z badań wynika, że w porównaniu z innymi systemami zarządzania treścią wzrosło wykorzystanie WordPressa.
Również przedsiębiorstwa wyraźnie zyskują na korzystaniu z więcej niż jednego CMS-a na raz, więc praktyka ta staje się coraz bardziej popularna. Jest to wyjątkowo przydatne, jeśli chodzi o takie problemy z lukami i błędami lub różnymi kwestiami dotyczącymi usług, prywatności i bezpieczeństwa Twojej witryny oraz poufnych danych.
Możliwe kroki
Naukowcy doradzają organizacjom i administratorom, aby:
- unikaj używania pirackiego oprogramowania;
- włączyć i zaktualizować Windows Defender lub inne rozwiązania AV;
- unikaj ponownego używania haseł na różnych kontach;
- regularnie aktualizuj system operacyjny
- polegać na łatkach, które są dostępne dla niektórych z tych luk i aktualizacjach dla poszczególnych wtyczek.