Грешке у ВордПресс-у су можда дозволиле хакерима да добију администраторска права и обришу податке са рањивих веб локација
Конкретни додатак је инсталиран на најмање 44.000 веб локација, према безбедносној фирми Вордфенце, тако да су све те локације рањиве.[2] Додатак пружа 466 комерцијалних ВордПресс тема и шаблона за продају, тако да купци могу лакше да конфигуришу и управљају темама.
Додатак функционише тако што поставља крајњу тачку ВордПресс РЕСТ-АПИ, али без провере да ли команде послате овом РЕСТ АПИ-ју долазе од власника сајта или овлашћеног корисника или не. Ово је начин на који удаљени код може да изврши сваки посетилац без аутентификације.
[3]Још једна грешка која укључује ВордПресс теме пронађена је у додацима од стране ТхемеГрилл-а који продају теме веб локација на више од 200.000 сајтова. Грешка је омогућила нападачима да пошаљу одређени корисни терет на те рањиве локације и покрећу жељене функције након што добију администраторска права.[4]
Шема тројанизованих ВордПресс тема које су довеле до компромитованих сервера
Према анализи, такви недостаци су омогућили компромитовање најмање 20.000 веб сервера широм света. То је вероватно довело до инсталирања злонамерног софтвера, изложености злонамерним огласима. Више од једне петине ових сервера припада средњим предузећима која имају мање финансијских средстава више прилагођених веб локација, за разлику од већих фирми, па су такви безбедносни инциденти такође значајнији у оштећења.
Коришћење предности тако широко коришћеног ЦМС-а је можда почело још 2017. Хакери могу постићи своје циљеве и несвесно компромитовати различите веб странице због недостатка свести о безбедности. Поред поменутих рањивих додатака и других недостатака, откривено је 30 веб локација које нуде ВордПресс теме и додатке.[5]
Тројанизовани пакети су инсталирани, а корисници шире злонамерне датотеке и не знају да такво понашање омогућава нападачима да стекну потпуну контролу над веб сервером. Одатле је лако додавање администраторских налога, опоравак веб сервера, па чак и добијање приступа корпоративним ресурсима.
Поред тога, злонамерни софтвер укључен у такве нападе може:
- комуницирају са Ц&Ц серверима у власништву хакера;
- преузимање датотека са сервера;
- додајте колачиће за прикупљање различитих података о посетиоцима;
- прикупити информације о погођеној машини.
Такође, криминалци укључени у такве шеме могу да користе кључне речи, злонамерно оглашавање и друге технике:
У бројним случајевима, рекламе су биле потпуно бенигне и упућивале су крајњег корисника на легитимну услугу или веб локацију. У другим случајевима, међутим, приметили смо искачуће огласе који подстичу корисника да преузме потенцијално нежељене програме.
ВордПресс је најпопуларнији ЦМС на свету
Недавни извештаји показују да коришћење ЦМС-а више није опционо и да је у порасту. Посебно за предузећа и апликације без главе које контролишу садржај одвојен од почетног слоја екрана или корисничког искуства фронт-енд.[6] Истраживање показује да је употреба ВордПресс-а повећана у поређењу са другим системима за управљање садржајем.
Такође, предузећа очигледно имају користи од коришћења више од једног ЦМС-а одједном, тако да ова пракса постаје све популарнија. То је изузетно згодно када се ради о таквим проблемима са рањивостима и грешкама или различитим проблемима у вези са услугама, приватношћу и безбедношћу ваше веб странице и осетљивим подацима.
Могући кораци
Истраживачи саветују организације и администраторе да:
- избегавајте коришћење пиратског софтвера;
- омогућите и ажурирајте Виндовс Дефендер или различита АВ решења;
- клоните се поновне употребе лозинки на свим налозима;
- редовно ажурирајте ОС
- ослањају се на закрпе које су доступне за неке од тих рањивости и ажурирања за одређене додатке.