Помилки в WordPress, можливо, дозволили хакерам отримати права адміністратора та очистити дані з уразливих веб-сайтів
За даними фірми безпеки Wordfence, цей плагін встановлено щонайменше на 44 000 веб-сайтах, тому всі ці сайти є вразливими.[2] Плагін надає 466 комерційних тем і шаблонів WordPress для продажу, тому клієнти можуть легше налаштовувати теми та керувати ними.
Плагін працює шляхом налаштування кінцевої точки WordPress REST-API, але без перевірки, чи надходять команди, надіслані цьому REST API, від власника сайту чи авторизованого користувача чи ні. Ось як віддалений код може бути виконаний будь-яким неавтентифікованим відвідувачем.
Інша помилка, пов’язана з темами WordPress, була знайдена у плагінах від ThemeGrill, які продають теми веб-сайтів більш ніж 200 000 сайтів. Помилка дозволила зловмисникам надсилати конкретне корисне навантаження на ці вразливі сайти та запускати потрібні функції після отримання прав адміністратора.[4]
Схема троянізованих тем WordPress, які призвели до зламаних серверів
Згідно з аналізом, такі недоліки дозволили зламати щонайменше 20 000 веб-серверів по всьому світу. Можливо, це призвело до встановлення зловмисного програмного забезпечення та розкриття шкідливої реклами. Понад п’ята частина цих серверів належить середнім підприємствам, які мають менше фінансування більше користувацьких веб-сайтів, на відміну від більших фірм, тому такі інциденти безпеки також є більш значущими в пошкодження.
Користуватися перевагами такої широко використовуваної CMS, можливо, почали ще в 2017 році. Хакери можуть досягати своїх цілей і несвідомо скомпрометувати різні веб-сайти через недостатню обізнаність жертв щодо безпеки. Окрім згаданих уразливих плагінів та інших недоліків, було виявлено 30 веб-сайтів, які пропонують теми та плагіни WordPress.[5]
Троянізовані пакети були встановлені, і користувачі поширювали шкідливі файли, навіть не підозрюючи, що така поведінка дозволяє зловмисникам отримати повний контроль над веб-сервером. Звідси легко додати облікові записи адміністратора, відновити веб-сервери та навіть отримати доступ до корпоративних ресурсів.
Крім того, шкідливі програми, включені в такі атаки, можуть:
- спілкуватися з серверами C&C, що належать хакерам;
- завантажити файли з сервера;
- додати файли cookie для збору різних даних відвідувачів;
- збирати інформацію про уражену машину.
Також зловмисники, залучені до таких схем, можуть використовувати ключові слова, шкідливу рекламу та інші прийоми:
У багатьох випадках рекламні оголошення були абсолютно безпечними і спрямовували кінцевого користувача до законної служби або веб-сайту. Проте в інших випадках ми спостерігали спливаючі оголошення, які спонукали користувача завантажувати потенційно небажані програми.
WordPress є найпопулярнішою CMS у світі
Останні звіти показують, що використання CMS більше не є обов’язковим і зростає. Особливо для корпоративних компаній і безголовних програм, які керують вмістом, відокремленим від початкового рівня відображення або інтерфейсу користувача.[6] Дослідження показує, що в порівнянні з іншими системами керування вмістом використання WordPress збільшилося.
Крім того, підприємства явно виграють від використання кількох CMS одночасно, тому ця практика стає все більш популярною. Це надзвичайно зручно, коли справа доходить до таких проблем із вразливими місцями та помилками чи різними проблемами, що стосуються послуг, конфіденційності та безпеки вашого веб-сайту та конфіденційних даних.
Можливі кроки
Дослідники радять організаціям та адміністраторам:
- уникайте використання піратського програмного забезпечення;
- увімкнути та оновити Windows Defender або різні AV-рішення;
- уникайте повторного використання паролів між обліковими записами;
- регулярно оновлювати ОС
- покладайтеся на виправлення, які доступні для деяких із цих уразливостей, та оновлення для певних плагінів.