6 WordPress Plugin haavoittuvuudet murtautui hakkerit

No sisällönhallintajärjestelmä (CMS) mittaa jopa WordPress kannalta suosio. Se on kiistaton mestari omassa markkinarakossaan, ja sillä on vaikuttava 63,5 prosentin CMS-markkinaosuus. Lisäksi 37 prosenttia kaikista Internetin verkkosivustoista käyttää WordPressiä.

Joustavan kehyksensä ansiosta, joka soveltuu lähes kaikkiin verkkokonteksteihin – pienistä henkilökohtaisista blogeista ja uutislehdistä suurten tuotemerkkien ylläpitämiin sivustoihin – ei ole mikään yllätys, että tämä CMS-järjestelmä on aiheuttanut aaltoja web-ekosysteemien alueella jo vuosien ajan.

Mitä kyberrikolliset ajattelevat tästä hypejunasta? Arvasit sen – heitä ei haittaa hyppääminen sen kyytiin. Toisin kuin webmasterit, heidän motivaationsa on kuitenkin paljon vähemmän hyväntahtoinen.

Hopeapilkku on se, että WordPress Core on suojattu kunnolla eri näkökulmista säännöllisten haavoittuvuuskorjausten avulla. WordPressin tietoturvaryhmä tekee yhteistyötä luotettavien tutkijoiden ja hosting-yritysten kanssa varmistaakseen välittömän reagoinnin uusiin uhkiin. Tehostaakseen puolustusta luottaen sivuston omistajien päivityshygieniaan, WordPress on työntänyt automaattisia taustapäivityksiä vuonna 2013 julkaistusta versiosta 3.7 lähtien.

Huono uutinen on se, että kolmannen osapuolen liitännäisohjelmat voivat olla helppoa saalista haitallisille toimijoille. Ei ole yllättävää, että laajennukset, joilla on paljon aktiivisia asennuksia, ovat suurempi houkutin. Hyödyntämällä niitä nämä toimijat voivat käyttää oikotietä ja kasvattaa merkittävästi potentiaalista hyökkäyspintaa.

Suosituista WordPress-lisäosista hiljattain löydetyt porsaanreiät ulottuvat etätoteutuksesta ja etuoikeuksien eskalointi-virheistä ristikkäisten pyyntöjen väärentämiseen ja ristikkäisten sivustojen skriptausvirheisiin.

Lisätietoa asiantuntijoiltammeThere Are 5 Basic Types of Entrepreneurs. Which 1 Are You?

File Manager

Syyskuun alussa suomalaisen webhosting-palveluntarjoajan Seravon tutkijat törmäsivät tietoturva-aukkoon File Managerissa, WordPress-lisäosassa, joka on asennettu ainakin 600 000 sivustolle. Tämä nollapäivän etäkoodin suorittamisen haavoittuvuudeksi luokiteltu kriittinen vika mahdollisti sen, että auktorisoimaton vastustaja pääsi käsiksi ylläpitoalueelle, pystyi suorittamaan haitallista koodia ja lataamaan epäilyttäviä skriptejä millä tahansa WordPress-sivustolla, jossa oli käytössä File Managerin versiot 6.0-6.8.

Lisäosien valmistajan kunniaksi korjattava versio (File Manager 6.9) julkaistiin vain muutama tunti sen jälkeen, kun tietoturva-analyytikot olivat raportoineet haavoittuvuudesta. File Managerin aktiivisten versiotilastojen mukaan tätä versiota käytetään kuitenkin tällä hetkellä vain 52,3 prosentissa WordPress-sivustoista, joissa lisäosa on käytössä. Se tarkoittaa, että yli 300 000 sivustoa on edelleen alttiina vaarantumiselle, koska niiden omistajat ovat hitaita päivittämään laajennuksen uusimpaan korjattuun versioon.

Kun valkoiset hatut löysivät tämän puutteen, sitä käytettiin jo hyväksi reaalimaailman hyökkäyksissä, joissa yritettiin ladata haitallisia PHP-tiedostoja hakemistoon ”wp-content/plugins/wp-file-manager/wp-file-manager/lib/files/” suojaamattomissa verkkosivustoissa. Tätä kirjoitettaessa yli 2,6 miljoonaa WordPress-instanssia on tutkittu vanhentuneiden tiedostonhallintaversioiden varalta.

Lisäksi eri verkkorikollisjengit näyttävät käyvän sotaa sivustoista, jotka ovat edelleen matalalla roikkuvia hedelmiä. Yksi tämän kilpailun elementeistä liittyy salasanan määrittämiseen, jolla päästään käsiksi laajennuksen tiedostoon nimeltä ”connector.minimal.php”, joka on ensisijainen käynnistysalusta etäkoodin suorittamiselle korjaamattomissa File Managerin iteraatioissa.

Muilla sanoilla, kun uhkailijat ovat saaneet alustavan jalansijan haavoittuvassa WordPress-asennuksessa, he estävät hyödyntämiskelpoisen osatekijän käyttämisen muilta rikollisilta, joilla voi olla myös takaporttiyhteys samalle sivustolle. Siitä puheen ollen, analyytikot ovat havainneet yrityksiä murtautua verkkosivustoille File Manager -liitännäisvirheen kautta, jotka ovat tulleet peräti 370 000 eri IP-osoitteesta.

Page Builder

SiteOriginin Page Builder WordPress -liitännäisellä on yli miljoona asennusta. Toukokuun alussa tietoturvapalveluiden tarjoaja Wordfence teki huolestuttavan löydön: Tämä erittäin suosittu WordPress-komponentti on altis useille CSRF-haavoittuvuuksille (cross-site request forgery), joita voidaan käyttää aseena korkeampien käyttöoikeuksien saamiseksi sivustolla.

Lisäosan bugiset ominaisuudet, ”Live Editor” ja ”builder_content”, mahdollistavat sen, että pahantekijä voi rekisteröidä uuden ylläpitäjätilin tai avata takaoven, jonka kautta hän pääsee haavoittuvalle sivustolle halutessaan. Jos hakkeri on tarpeeksi pätevä, hän voi hyödyntää tätä haavoittuvuutta toteuttaakseen sivuston haltuunoton.

SiteOrigin julkaisi korjauksen vuorokauden kuluessa siitä, kun se oli saanut ilmoituksen näistä puutteista. Ongelma vaikuttaa kuitenkin edelleen kautta linjan, kunnes webmasterit ottavat korjauksen käyttöön – valitettavasti tämä vie yleensä melko paljon aikaa.

GDPR-evästeiden suostumus

Tämä lisäosa on yksi WordPress-ekosysteemin raskassarjalaisista, sillä se on asennettu ja sitä käytetään aktiivisesti yli 800 000 sivustolla. Sen avulla webmasterit voivat noudattaa Euroopan unionin yleistä tietosuoja-asetusta (GDPR) mukautettavien evästekäytäntöilmoitusten avulla.

Viime tammikuussa tietoturva-asiantuntijat havaitsivat, että GDPR Cookie Consentin versio 1.8.2 ja sitä aikaisemmat versiot olivat alttiita vakavalle haavoittuvuudelle, joka mahdollisti pahantekijöille cross-site scripting (XSS) ja privilege escalation -hyökkäykset.

Vika tasoittaa hakkerin tietä kohti minkä tahansa sisällön muuttamista, lähettämistä tai poistamista hyväksikäytettävissä olevalla WordPress-verkkosivustolla, vaikka sillä olisi tilaajaoikeudet. Toinen haitallinen skenaario tiivistyy haitallisen JavaScript-koodin pistämiseen, joka voi aiheuttaa uudelleenohjauksia tai näyttää ei-toivottuja mainoksia kävijöille. Hyvä uutinen on, että kehittäjä WebToffee julkaisi korjatun version 10. helmikuuta.

Duplicator

Yli miljoonalla aktiivisella asennuksella ja yhteensä 20 miljoonalla latauksella Duplicator on sadan parhaan WordPress-lisäosan listalla. Sen ensisijainen ominaisuus koskee WordPress-sivuston siirtämistä tai kloonaamista paikasta toiseen. Lisäksi sen avulla sivuston omistajat voivat varmuuskopioida sisältönsä helposti ja turvallisesti.

Helmikuussa Wordfence-tietoturva-analyytikot paikansivat virheen, jonka avulla tekijä pystyi lataamaan mielivaltaisia tiedostoja sivustoista, joilla on käytössä Duplicatorin versio 1.3.26 ja sitä vanhemmat versiot. Hyökkääjä saattoi esimerkiksi käyttää tätä virhettä hyväkseen ja ladata ”wp-config.php”-tiedoston sisällön, joka sisältää muun muassa sivuston ylläpitäjän tunnukset. Onneksi virhe korjattiin kaksi päivää sen jälkeen, kun haavoittuvuudesta oli ilmoitettu myyjälle.

Site Kit by Google

Vaikea virhe Googlen Site Kit by Google -lisäosassa, jota käytetään aktiivisesti yli 700 000 sivustolla, antaa hyökkääjälle mahdollisuuden ottaa haltuunsa siihen liittyvän Googlen hakukonsolin (Google Search Console) ja häiritä sivuston verkkopalvelua. Hankkimalla tämän heikkouden kautta luvattoman omistajan käyttöoikeuden pahantahtoinen toimija voi muuttaa sitemappeja, poistaa sivuja Googlen hakutuloksista, lisätä haitallista koodia ja järjestää mustan hatan SEO-huijauksia.

Yksi tämän porsaanreiän puolista on se, että lisäosassa on karkeasti istutettu käyttäjän roolitarkistukset. Kaiken kukkuraksi se paljastaa URL-osoitteen, jota Site Kit käyttää yhteydenpitoon Google Search Consolen kanssa. Yhdistettynä nämä puutteet voivat ruokkia hyökkäyksiä, jotka johtavat etuoikeuksien laajentamiseen ja edellä mainittuihin hyödyntämisen jälkeisiin skenaarioihin.

Haavoittuvuuden havaitsi Wordfence 21. huhtikuuta. Vaikka laajennuksen tekijä julkaisi päivitetyn version (Site Kit 1.8.0) 7. toukokuuta, se on tällä hetkellä asennettu vain 12,9 prosenttiin (noin 90 000) WordPress-sivustoista, joissa Site Kit on käytössä. Siksi sadat tuhannet sivuston omistajat eivät ole vielä soveltaneet sitä pysyäkseen turvassa.

InfiniteWP Client

Tällä lisäosalla on yli 300 000 aktiivista asennusta syystä: Sen avulla sivuston omistajat voivat hallita useita sivustoja omalta palvelimeltaan. Näistä eduista nauttimisen kääntöpuolena on se, että vastustaja voi pystyä kiertämään todennuksen WebARX:n tammikuussa paljastaman kriittisen virheen avulla.

Tällaisen hyökkäyksen käynnistämiseksi hakkeri voisi käyttää hyväkseen InfiniteWP Clientin virheellisiä funktioita nimeltä ”add_site” ja ”readd_site”. Koska näissä kokonaisuuksissa ei ollut asianmukaisia todennusvalvontoja, hyökkääjä saattoi hyödyntää erityisesti muotoiltua Base64-koodattua hyötykuormaa kirjautuakseen WordPressin hallintakäyttöpaneeliin ilman, että hänen olisi tarvinnut syöttää voimassa olevaa salasanaa. Pääsyyn riittäisi ylläpitäjän käyttäjätunnus. Tästä haavoittuvuudesta huolehtiva päivitys saapui jo seuraavana päivänä löydön jälkeen.

Mitä sille voi tehdä

Plugins laajentavat WordPress-sivuston toiminnallisuutta, mutta ne voivat olla ristiriitainen siunaus. Jopa suosituimmissa WordPress-liitännäisissä voi olla puutteita, jotka mahdollistavat erityyppiset huijaukset, jotka johtavat sivuston haltuunottoon ja tietovarkauksiin.

Hyvä uutinen on, että liitännäisten laatijat reagoivat nopeasti näihin heikkouksiin ja julkaisevat korjauksia. Nämä päivitykset ovat kuitenkin turhia, elleivät sivuston omistajat tee kotiläksyjään ja noudata turvallisia käytäntöjä.

Seuraavat vinkit auttavat sinua estämään WordPress-sivustosi joutumisen matalalla roikkuvaksi hedelmäksi:

  • Käytä päivityksiä. Tämä on perustavanlaatuinen vastatoimi WordPress-hakkereita vastaan. Varmista, että sivustollasi on käytössä WordPress-ytimen uusin versio. Yhtä tärkeää on asentaa lisäosien ja teemojen päivitykset, kun ne on julkaistu.
  • Käytä vahvoja salasanoja. Määritä salasana, joka näyttää mahdollisimman satunnaiselta ja koostuu vähintään 10 merkistä. Sisällytä erikoismerkkejä korottaaksesi rimaa hyökkääjille, jotka saattavat yrittää murtaa tunnistautumistietosi.
  • Noudata vähimmän etuoikeuden periaatetta. Älä anna valtuutetuille käyttäjille enemmän oikeuksia kuin he tarvitsevat. Ylläpitäjän tai toimittajan roolit saattavat olla joillekin käyttäjille tarpeettomia. Jos subscriber- tai contributor-oikeudet riittävät, pysy niiden sijaan niissä.
  • Rajoita suoraa pääsyä PHP-tiedostoihin. Hakkerit saattavat lähettää erityisesti muotoiltuja HTTP- tai GET/POST-pyyntöjä laajennusten ja teemojen PHP-komponentteihin kiertääkseen todennus- ja syötteenvalvontamekanismeja. Välttääksesi nämä hyökkäykset määritä säännöt, jotka käynnistävät virhesivun, kun tällaisia yrityksiä tehdään.
  • Poista epäaktiiviset käyttäjät. Käy läpi sivustollesi rekisteröityjen käyttäjien luettelo ja poista uinuvat tilit.
  • Poista käyttäjäluettelointi käytöstä. Estääksesi hyökkääjiä katsomasta sivustosi käyttäjäluetteloa ja yrittämästä käyttää hyväkseen konfigurointivirheitä, siirry .htaccess-tiedostoon ja kytke siellä oleva user enumeration -ominaisuus pois päältä.
  • Lisää tietoturvalisäosa. Varmista, että laajennuksen mukana tulee web-sovelluspalomuuri (WAF), joka tarkkailee epäilyttävää liikennettä ja estää kohdennetut hyökkäykset, jotka hyödyntävät tunnettuja ja nollapäivän haavoittuvuuksia.