Chyby vo WordPress pravdepodobne umožnili hackerom získať práva správcu a vyčistiť údaje zo zraniteľných webových stránok
Podľa bezpečnostnej firmy Wordfence je konkrétny doplnok nainštalovaný na najmenej 44 000 webových stránkach, takže všetky tieto stránky sú zraniteľné.[2] Doplnok poskytuje 466 komerčných tém a šablón WordPress na predaj, takže zákazníci môžu témy jednoduchšie konfigurovať a spravovať.
Doplnok funguje tak, že nastavuje koncový bod REST-API WordPress, ale bez kontroly, či príkazy odoslané do tohto REST API pochádzajú od vlastníka stránky alebo oprávneného používateľa alebo nie. Takto môže vzdialený kód spustiť akýkoľvek neoverený návštevník.
Ďalšia chyba týkajúca sa tém WordPress bola nájdená v doplnkoch od ThemeGrill, ktorá predáva témy webových stránok na viac ako 200 000 stránkach. Chyba umožnila útočníkom odoslať konkrétny obsah na tieto zraniteľné stránky a spustiť požadované funkcie po získaní práv správcu.[4]
Schéma trojanizovaných WordPress tém, ktoré viedli k napadnutiu serverov
Podľa analýzy takéto chyby umožnili kompromitovať najmenej 20 000 webových serverov po celom svete. Pravdepodobne to viedlo k inštaláciám škodlivého softvéru a vystaveniu škodlivých reklám. Viac ako pätina týchto serverov patrí stredne veľkým podnikom, ktoré majú menej financií na výrobu viac prispôsobených webových stránok, na rozdiel od väčších firiem, takže takéto bezpečnostné incidenty sú tiež významnejšie poškodenie.
Využívanie takýchto široko používaných CMS sa mohlo začať už v roku 2017. Hackeri môžu dosiahnuť svoje ciele a nevedomky ohroziť rôzne webové stránky kvôli nedostatočnému povedomiu obetí o bezpečnosti. Okrem spomínaných zraniteľných pluginov a iných nedostatkov bolo objavených 30 webových stránok, ktoré ponúkajú WordPress témy a pluginy.[5]
Trojanizované balíky sa nainštalovali a používatelia šírili škodlivé súbory bez toho, aby vedeli, že takéto správanie umožňuje útočníkom získať plnú kontrolu nad webovým serverom. Odtiaľ je pridávanie správcovských účtov, obnova webových serverov a dokonca aj získanie prístupu k podnikovým zdrojom jednoduché.
Okrem toho malvér zahrnutý v takýchto útokoch môže:
- komunikovať so servermi C&C vlastnenými hackermi;
- sťahovať súbory zo servera;
- pridať súbory cookie na zhromažďovanie rôznych údajov o návštevníkoch;
- zhromažďovať informácie o dotknutom stroji.
Zločinci zapojení do takýchto schém môžu tiež používať kľúčové slová, škodlivú reklamu a ďalšie techniky:
V mnohých prípadoch boli reklamy úplne neškodné a nasmerovali koncového používateľa na legitímnu službu alebo webovú stránku. V iných prípadoch sme však zaznamenali vyskakovacie reklamy vyzývajúce používateľa na stiahnutie potenciálne nechcených programov.
WordPress je najpopulárnejší CMS na svete
Nedávne správy ukazujú, že používanie CMS už nie je voliteľné a je na vzostupe. Najmä pre podnikové spoločnosti a aplikácie bez hlavy, ktoré kontrolujú obsah oddelený od počiatočnej zobrazovacej vrstvy alebo používateľského rozhrania.[6] Výskum ukazuje, že v porovnaní s inými redakčnými systémami sa používanie WordPressu zvýšilo.
Podniky tiež jednoznačne profitujú z používania viac ako jedného CMS naraz, takže táto prax sa stáva čoraz populárnejšou. To je mimoriadne užitočné, pokiaľ ide o takéto problémy so zraniteľnosťami a chybami alebo rôznymi problémami týkajúcimi sa služieb, súkromia a bezpečnosti vašej webovej stránky a citlivých údajov.
Možné kroky
Výskumníci radia organizáciám a správcom, aby:
- vyhnúť sa používaniu pirátskeho softvéru;
- povoliť a aktualizovať program Windows Defender alebo rôzne AV riešenia;
- vyhýbajte sa opakovanému používaniu hesiel naprieč účtami;
- pravidelne aktualizovať OS
- spoliehajte sa na opravy, ktoré sú k dispozícii pre niektoré z týchto zraniteľností a aktualizácie pre konkrétne doplnky.