6 WordPress Plugin Vulnerabilities Breached by Hackers
Žádný systém pro správu obsahu (CMS) se z hlediska popularity nevyrovná WordPressu. Ve své nice je nesporným šampionem a může se pochlubit úctyhodným 63,5procentním podílem na trhu CMS. Navíc 37 procent všech webových stránek na internetu běží na systému WordPress.
S jeho flexibilním rámcem, který se hodí prakticky do jakéhokoli kontextu na internetu – od malých osobních blogů a zpravodajských serverů až po weby provozované velkými značkami – není divu, že tento CMS už roky vytváří vlny v oblasti webových ekosystémů.
Co si o tomto rozjetém vlaku myslí kyberzločinci? Hádáte správně – nevadí jim do něj naskočit. Na rozdíl od webmasterů je však jejich motivace mnohem méně vlídná.
Zdravou stránkou je, že jádro WordPressu je řádně zabezpečeno z různých hledisek prostřednictvím pravidelných záplat zranitelností. Bezpečnostní tým WordPressu spolupracuje s důvěryhodnými výzkumníky a hostingovými společnostmi, aby zajistil okamžitou reakci na vznikající hrozby. Aby posílil obranu, aniž by se spoléhal na hygienu aktualizací majitelů webů, prosazuje WordPress od verze 3.7 vydané v roce 2013 automatické aktualizace na pozadí.
Špatnou zprávou je, že pluginy třetích stran mohou být snadnou kořistí pro záškodníky. Není překvapením, že pluginy s mnoha aktivními instalacemi jsou větším lákadlem. Jejich zneužitím si tito aktéři mohou zkrátit cestu a výrazně zvětšit potenciální plochu útoku.
Díry nedávno nalezené v populárních pluginech WordPressu sahají od chyb vzdáleného spuštění a zvýšení oprávnění až po chyby typu cross-site request forgery a cross-site scripting.
Více od našich odborných přispěvatelůExistuje 5 základních typů podnikatelů. Který z nich jste vy?“
Správce souborů
Začátkem září výzkumníci finského poskytovatele webhostingu Seravo narazili na bezpečnostní mezeru ve Správci souborů, pluginu pro WordPress nainstalovaném na nejméně 600 000 stránkách. Tato kritická chyba, klasifikovaná jako zranitelnost nultého dne se vzdáleným spuštěním kódu, umožňovala neautentifikovanému protivníkovi přístup do oblasti administrace, spuštění škodlivého kódu a nahrání podezřelých skriptů na jakémkoli webu WordPress s verzemi Správce souborů mezi 6.0 a 6.8.
K dobru tvůrce pluginu lze přičíst, že opravená verze (Správce souborů 6.9) byla vydána jen několik hodin poté, co bezpečnostní analytici tuto zranitelnost nahlásili. Podle statistik aktivních verzí Správce souborů je však toto sestavení v současné době používáno pouze na 52,3 % webů WordPress, které plugin používají. To znamená, že více než 300 000 webů je nadále náchylných ke kompromitaci, protože jejich majitelé pomalu aktualizují zásuvný modul na nejnovější opravenou verzi.
Když bílé klobouky tuto chybu objevily, byla již zneužívána v reálném světě při pokusech o nahrání škodlivých souborů PHP do adresáře „wp-content/plugins/wp-file-manager/lib/files/“ na nezabezpečených webových stránkách. V době psaní tohoto článku bylo na zastaralé verze správce souborů prozkoumáno více než 2,6 milionu instancí systému WordPress.
Navíc se zdá, že různé kyberzločinecké gangy vedou válku o webové stránky, které jsou i nadále nízko visícím ovocem. Jeden z prvků tohoto soupeření spočívá v zadání hesla pro přístup k souboru pluginu s názvem „connector.minimal.php“, který je v neopravených iteracích Správce souborů primárním startovacím místem pro vzdálené spuštění kódu.
Jinými slovy, jakmile aktéři hrozeb získají počáteční oporu ve zranitelné instalaci WordPressu, zablokují zneužitelnou komponentu, aby ji nemohli používat další zločinci, kteří mohou mít také přístup zadními vrátky na stejný web. Když už jsme u toho, analytici zaznamenali pokusy o nabourání webových stránek prostřednictvím chyby v zásuvném modulu Správce souborů pocházející z neuvěřitelných 370 000 různých IP adres.
Page Builder
Zásuvný modul WordPress Page Builder od společnosti SiteOrigin má více než milion instalací. Na začátku května učinil poskytovatel bezpečnostních služeb Wordfence nepříjemné zjištění:
Tato nesmírně populární komponenta WordPressu je náchylná k řadě zranitelností typu CSRF (cross-site request forgery), které lze využít k získání zvýšených oprávnění na webu.
Chybné funkce zásuvného modulu, „Live Editor“ a „builder_content“, umožňují záškodníkovi zaregistrovat nový účet správce nebo otevřít zadní vrátka pro libovolný přístup na zranitelný web. Pokud je hacker dostatečně schopný, může tuto chybu využít k provedení převzetí webu.
SiteOrigin během jednoho dne po upozornění na tyto chyby zavedl opravu. Problém se však bude nadále projevovat plošně, dokud webmasteři záplatu neaplikují – to bohužel obvykle trvá poměrně dlouho.
Tento zásuvný modul je jednou z těžkých vah v ekosystému WordPress, je nainstalován a aktivně používán na více než 800 000 stránkách. Umožňuje správcům webů dodržovat obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) prostřednictvím přizpůsobitelných oznámení o zásadách používání souborů cookie.
Loni v lednu bezpečnostní experti zjistili, že GDPR Cookie Consent ve verzi 1.8.2 a starší byly vystaveny závažné chybě, která umožňovala zlým aktérům provést útoky typu XSS (cross-site scripting) a eskalaci privilegií.
Chybička otevírá hackerům cestu ke změně, odeslání nebo smazání jakéhokoli obsahu na zneužitelném webu WordPress, a to i s oprávněním účastníka. Další nepříznivý scénář se omezuje na injektování škodlivého kódu JavaScriptu, který může způsobit přesměrování nebo zobrazit návštěvníkům nechtěnou reklamu. Dobrou zprávou je, že vývojář, společnost WebToffee, vydal 10. února opravenou verzi.
Duplicator
S více než milionem aktivních instalací a celkem 20 miliony stažení je Duplicator na seznamu 100 nejpoužívanějších pluginů pro WordPress. Jeho hlavní funkce se týká migrace nebo klonování webu WordPress z jednoho umístění na druhé. Navíc umožňuje majitelům stránek snadno a bezpečně zálohovat jejich obsah.
V únoru bezpečnostní analytici společnosti Wordfence odhalili chybu, která umožňovala pachateli stahovat libovolné soubory z webů s nástrojem Duplicator verze 1.3.26 a starší. Útočník mohl na základě této chyby například stáhnout obsah souboru „wp-config.php“, který obsahuje mimo jiné přihlašovací údaje správce webu. Chyba byla naštěstí opravena dva dny poté, co byla výrobci nahlášena.
Site Kit by Google
Závažná chyba v pluginu Site Kit by Google, který se aktivně používá na více než 700 000 webech, umožňuje útočníkovi převzít kontrolu nad přidruženou konzolou Google Search Console a narušit online prezentaci webu. Získáním neoprávněného přístupu vlastníka prostřednictvím této slabiny může záškodník měnit mapy stránek, odstraňovat stránky z výsledků vyhledávání Google, injektovat škodlivý kód a organizovat black hat SEO podvody.
Jedním z aspektů této mezery je, že zásuvný modul má hrubě implantované kontroly uživatelských rolí. Aby toho nebylo málo, odhaluje adresu URL využívanou sadou Site Kit ke komunikaci s konzolou Google Search Console. V kombinaci mohou tyto nedokonalosti podnítit útoky vedoucí ke zvýšení oprávnění a výše zmíněným scénářům po zneužití.
Zranitelnosti si 21. dubna všimla společnost Wordfence. Přestože autor pluginu vydal 7. května aktualizovanou verzi (Site Kit 1.8.0), je v současné době nainstalována pouze na 12,9 % (asi 90 000) webů WordPress se systémem Site Kit. Statisíce majitelů webů jej tedy ještě musí použít, aby zůstali v bezpečí.
InfiniteWP Client
Tento zásuvný modul má více než 300 000 aktivních instalací z nějakého důvodu: umožňuje majitelům webů spravovat více webů z vlastního serveru. Odvrácenou stranou těchto výhod je, že protivník může být schopen obejít ověřování prostřednictvím kritické chyby, kterou v lednu odhalila společnost WebARX.
K zahájení takového útoku by hacker mohl zneužít chybné funkce InfiniteWP Client nazvané „add_site“ a „readd_site“. Protože tyto entity neměly zavedené správné kontroly ověřování, mohl útočník využít speciálně vytvořený payload v kódování Base64 k přihlášení do panelu správce WordPressu, aniž by musel zadat platné heslo. K získání přístupu by stačilo uživatelské jméno správce. Aktualizace, která se o tuto zranitelnost postarala, dorazila hned druhý den po objevení.
Co s tím
Pluginy rozšiřují funkčnost webu WordPress, ale mohou být smíšeným požehnáním. I ty nejoblíbenější zásuvné moduly pro WordPress mohou mít nedokonalosti, které umožňují různé typy nečisté hry vedoucí k převzetí webu a krádeži dat.
Dobrou zprávou je, že autoři zásuvných modulů na tyto nedostatky rychle reagují a vydávají opravy. Tyto aktualizace jsou však zbytečné, pokud si majitelé stránek neudělají domácí úkol a nebudou dodržovat bezpečné postupy.
Následující tipy vám pomohou zabránit tomu, aby se vaše stránky WordPress staly nízko visícím ovocem:
- Používejte aktualizace. Jedná se o základní protiopatření proti hackerům WordPressu. Ujistěte se, že váš web používá nejnovější verzi jádra WordPressu. Stejně tak je důležité nainstalovat aktualizace zásuvných modulů a témat, jakmile se objeví.
- Používejte silná hesla. Zadejte heslo, které vypadá co nejnáhodněji a skládá se alespoň z 10 znaků. Zahrňte speciální znaky, abyste zvýšili laťku pro útočníky, kteří se mohou pokusit vylákat vaše ověřovací údaje.
- Dodržujte zásadu nejmenšího oprávnění. Nedávejte oprávněným uživatelům více oprávnění, než potřebují. Role správce nebo editora mohou být pro některé uživatele zbytečné. Pokud vám stačí oprávnění účastníka nebo přispěvatele, zůstaňte raději u nich.
- Omezte přímý přístup k souborům PHP. Hackeři mohou posílat speciálně vytvořené požadavky HTTP nebo GET/POST na komponenty PHP vašich zásuvných modulů a témat, aby obešli mechanismy ověřování a ověřování vstupů. Chcete-li těmto útokům zabránit, zadejte pravidla, která při takových pokusech spustí chybovou stránku.
- Odstraňte neaktivní uživatele. Projděte seznam uživatelů registrovaných na vašem webu a odstraňte neaktivní účty.
- Zakázat výčet uživatelů. Chcete-li zabránit útočníkům, aby si prohlíželi seznam uživatelů vašeho webu a snažili se zneužít jejich chybné konfigurace, přejděte do souboru .htaccess a vypněte tam funkci výčtu uživatelů.
- Přidejte bezpečnostní doplněk. Ujistěte se, že je zásuvný modul vybaven bránou WAF (Web Application Firewall), která monitoruje podezřelý provoz a blokuje cílené útoky využívající známé zranitelnosti a zranitelnosti nultého dne.
.