6 WordPress Plugin Vulnerabilities Breached by Hackers
Nem egy tartalomkezelő rendszer (CMS) sem ér fel a WordPresshez a népszerűség tekintetében. A maga nemében vitathatatlanul bajnok, a CMS-piac lenyűgöző 63,5 százalékos részesedésével büszkélkedhet. Ráadásul az interneten található webhelyek 37 százaléka WordPress-t futtat.
A rugalmas keretrendszerével, amely gyakorlatilag bármilyen online kontextusba illeszkedik – a kis személyes blogoktól és hírportáloktól a nagy márkák által üzemeltetett webhelyekig – nem meglepő, hogy ez a CMS évek óta hullámokat kelt a webes ökoszisztéma területén.
Mit gondolnak a kiberbűnözők erről a hype-vonatról? Kitalálta – nem bánják, ha felugranak rá. A webmesterekkel ellentétben azonban az ő motivációjuk sokkal kevésbé jóindulatú.
A jó hír, hogy a WordPress magja a rendszeres sebezhetőségi javítások révén több szempontból is megfelelően biztosított. A WordPress biztonsági csapata együttműködik megbízható kutatókkal és tárhelyszolgáltatókkal, hogy azonnali választ adjon a felmerülő fenyegetésekre. A védelem fokozása érdekében, anélkül, hogy a webhelytulajdonosok frissítési higiéniájára hagyatkoznának, a WordPress a 2013-ban kiadott 3.7-es verzió óta automatikus háttérfrissítéseket tol ki.
A rossz hír az, hogy a harmadik féltől származó bővítmények könnyű prédát jelenthetnek a rosszindulatú szereplők számára. Nem meglepő módon a sok aktív telepítéssel rendelkező bővítmények jelentenek nagyobb csalit. Ezek kihasználásával ezek a szereplők rövid utat vehetnek, és jelentősen megnövelhetik a potenciális támadási felületet.
A népszerű WordPress bővítményekben nemrégiben talált kiskapuk a távoli futtatási és jogosultságnövelési hibáktól a cross-site request forgery és cross-site scripting hibákig terjednek.
Most From Our Expert ContributorsThere Are 5 Basic Types of Entrepreneurs. Melyik vagy te?
File Manager
Szeptember elején a finnországi székhelyű Seravo webtárhely-szolgáltató kutatói biztonsági résre bukkantak a File Managerben, egy legalább 600 000 webhelyen telepített WordPress pluginban. A nulladik napi távoli kódfuttatási sebezhetőségként kategorizált kritikus hiba lehetővé tette egy nem hitelesített ellenfél számára, hogy hozzáférjen az adminisztrációs területhez, rosszindulatú kódot futtasson és kétes szkripteket töltsön fel bármely WordPress oldalon, amely a 6.0 és 6.8 közötti File Manager verziókat használja.
A plugin gyártója javára legyen mondva, hogy a biztonsági elemzők bejelentése után néhány órával kiadtak egy javított verziót (File Manager 6.9). A File Manager aktív verziók statisztikái szerint azonban ezt a buildet jelenleg csak a bővítményt futtató WordPress oldalak 52,3 százalékán használják. Ez azt jelenti, hogy több mint 300 000 webhely továbbra is ki van téve a veszélynek, mert a tulajdonosok lassan frissítik a bővítményt a legújabb, javított verzióra.
Amikor a fehér kalaposok felfedezték ezt a hibát, azt már valós támadásokban használták ki, amikor a nem biztonságos webhelyeken a “wp-content/plugins/wp-file-manager/lib/files/” könyvtárba próbáltak feltölteni káros PHP-fájlokat. E cikk írásakor több mint 2,6 millió WordPress-példányt vizsgáltak meg elavult fájlkezelő-verziókra vonatkozóan.
Mindenesetre úgy tűnik, hogy különböző kiberbűnözői bandák háborút folytatnak a továbbra is alacsonyan lógó gyümölcsnek számító webhelyek ellen. E rivalizálás egyik eleme a plugin “connector.minimal.php” nevű fájljához való hozzáféréshez szükséges jelszó megadásában merül ki, amely a nem javított Fájlkezelő-iterációkban a távoli kódfuttatás elsődleges kiindulópontja.
Más szóval, amint a fenyegető szereplők megszerezték a kezdeti lábukat egy sebezhető WordPress telepítésben, megakadályozzák, hogy a kihasználható komponenst más bűnözők használják, akiknek szintén hátsó ajtós hozzáférésük lehet ugyanahhoz a webhelyhez. Ha már itt tartunk, az elemzők megfigyelték, hogy a fájlkezelő bővítmény hibáján keresztül 370 000 különböző IP-címről érkeztek kísérletek weboldalak feltörésére.
Page Builder
A SiteOrigin által készített Page Builder WordPress bővítmény több mint egymillió telepítéssel rendelkezik. Május elején a Wordfence biztonsági szolgáltató nyugtalanító felfedezést tett: Ez az óriási népszerűségnek örvendő WordPress-összetevő érzékeny egy sor Cross-Site Request Forgery (CSRF) sebezhetőségre, amelyek fegyverként felhasználhatók arra, hogy megnövelt jogosultságokat szerezzenek egy webhelyen.
A bővítmény hibás funkciói, a “Live Editor” és a “builder_content” lehetővé teszik, hogy egy rosszindulatú elkövető új adminisztrátori fiókot regisztráljon, vagy hátsó ajtót nyisson, hogy tetszés szerint hozzáférjen egy sebezhető webhelyhez. Ha egy hacker elég hozzáértő, kihasználhatja ezt a sebezhetőséget egy webhely átvételének végrehajtására.
A SiteOrigin egy napon belül kiadott egy javítást, miután felhívták a figyelmet ezekre a hibákra. A probléma azonban továbbra is érezteti hatását az egész rendszerben, amíg a webmesterek nem alkalmazzák a javítást – sajnos ez általában elég sok időt vesz igénybe.
GDPR Cookie Consent
Ez a plugin a WordPress ökoszisztéma egyik nehézsúlyú tagja, több mint 800 000 webhelyen telepítik és használják aktívan. Lehetővé teszi a webmesterek számára az Európai Unió általános adatvédelmi rendeletének (GDPR) való megfelelést a testreszabható sütikre vonatkozó értesítéseken keresztül.
Múlt januárban a biztonsági szakértők megállapították, hogy a GDPR Cookie Consent 1.8-as verziója.2 és korábbi verziója súlyos sebezhetőségnek volt kitéve, amely lehetővé tette a rosszfiúk számára, hogy cross-site scripting (XSS) és privilege escalation támadásokat hajtsanak végre.
A hiba megnyitja a hackerek útját a kihasználható WordPress webhelyen lévő bármilyen tartalom módosítása, közzététele vagy törlése felé, akár előfizetői jogosultságokkal is. Egy másik kedvezőtlen forgatókönyv a káros JavaScript-kód bejuttatására fut ki, amely átirányításokat okozhat, vagy nem kívánt hirdetéseket jeleníthet meg a látogatóknak. Jó hír, hogy a fejlesztő, a WebToffee február 10-én kiadott egy javított verziót.
Duplicator
A Duplicator több mint egymillió aktív telepítéssel és összesen 20 millió letöltéssel szerepel a 100 legjobb WordPress bővítmény listáján. Elsődleges funkciója egy WordPress oldal egyik helyről a másikra történő migrálásáról vagy klónozásáról szól. Emellett lehetővé teszi a webhelytulajdonosok számára, hogy egyszerűen és biztonságosan biztonsági másolatot készítsenek tartalmaikról.
Februárban a Wordfence biztonsági elemzői egy olyan hibára mutattak rá, amely lehetővé tette, hogy az elkövető tetszőleges fájlokat töltsön le a Duplicator 1.3.26-os vagy régebbi verzióját futtató webhelyekről. Egy támadó például ezt a hibát kihasználva letölthette a “wp-config.php” fájl tartalmát, amely többek között a webhely adminisztrátori hitelesítő adatait tartalmazza. Szerencsére a hibát két nappal azután, hogy a sebezhetőséget jelentették a gyártónak, javították.
Site Kit by Google
A több mint 700 000 webhelyen aktívan használt Site Kit by Google bővítmény súlyos hibája lehetővé teszi a támadó számára, hogy átvegye a kapcsolódó Google Search Console-t és megzavarja a webhely online jelenlétét. Ha egy rosszindulatú szereplő ezen a gyengeségen keresztül jogosulatlan tulajdonosi hozzáférést szerez, megváltoztathatja a sitemapokat, törölheti az oldalakat a Google keresési találatok listájáról, káros kódot juttathat be, és fekete kalapos SEO-csalásokat szervezhet.
A kiskapu egyik aspektusa, hogy a plugin durván beülteti a felhasználói szerepkör-ellenőrzéseket. Mindennek tetejébe még a Site Kit által a Google Search Console-lal való kommunikációhoz használt URL-t is feltárja. Ezek a hiányosságok együttesen olyan támadásokat táplálhatnak, amelyek a jogosultságok kiterjesztéséhez és a fent említett utólagos kihasználási forgatókönyvekhez vezetnek.
A sebezhetőséget a Wordfence április 21-én észlelte. Bár a bővítmény szerzője május 7-én kiadott egy frissített verziót (Site Kit 1.8.0), ez jelenleg a Site Kitet futtató WordPress-oldalak mindössze 12,9 százalékán (körülbelül 90 000) van telepítve. Ezért webhelytulajdonosok százezreinek kell még alkalmazniuk, hogy biztonságban legyenek.
InfiniteWP Client
Ez a bővítmény nem véletlenül rendelkezik több mint 300 000 aktív telepítéssel: lehetővé teszi a webhelytulajdonosok számára, hogy több webhelyet kezeljenek saját szerverükről. Ezeknek az előnyöknek a másik oldala, hogy egy ellenfél képes lehet megkerülni a hitelesítést a WebARX által januárban feltárt kritikus hiba révén.
Egy ilyen támadás elindításához a hacker kihasználhatja az InfiniteWP Client “add_site” és “readd_site” nevű hibás funkcióit. Mivel ezek az entitások nem rendelkeztek megfelelő hitelesítési ellenőrzésekkel, a támadó egy speciálisan kialakított Base64 kódolt hasznos teherrel bejelentkezhetett a WordPress admin műszerfalára anélkül, hogy érvényes jelszót kellett volna megadnia. A rendszergazda felhasználóneve elegendő lenne a hozzáférés megszerzéséhez. A sebezhetőséget orvosló frissítés már a felfedezés másnapján megérkezett.
Mit tegyünk ellene
A pluginok bővítik a WordPress webhely funkcionalitását, de vegyes áldás is lehetnek. Még a legnépszerűbb WordPress bővítmények is tartalmazhatnak olyan hiányosságokat, amelyek lehetővé teszik a webhely átvételéhez és adatlopáshoz vezető különféle szabálytalanságokat.
A jó hír az, hogy a bővítményszerzők gyorsan reagálnak ezekre a gyengeségekre, és foltokat dobnak ki. Ezek a frissítések azonban hiábavalóak, hacsak a webhelytulajdonosok nem végzik el a házi feladatukat és nem követik a biztonságos gyakorlatokat.
A következő tippek segítenek megelőzni, hogy WordPress webhelye alacsonyan lógó gyümölcs legyen:
- Alkalmazza a frissítéseket. Ez a WordPress-hackek alapvető ellenintézkedése. Győződj meg róla, hogy webhelyeden a WordPress mag legújabb verziója fut. Ugyanilyen fontos, hogy telepítse a bővítményei és témái frissítéseit, amint azok megjelenik.
- Használjon erős jelszavakat. Adjon meg egy olyan jelszót, amely a lehető legvéletlenszerűbbnek tűnik, és legalább 10 karakterből áll. Vegyen bele speciális karaktereket, hogy megemelje a mércét a támadók számára, akik esetleg megpróbálják feltörni a hitelesítési adatait.
- Kövesse a legkisebb kiváltság elvét. Ne adjon a felhatalmazott felhasználóknak több jogosultságot, mint amennyire szükségük van. Az admin vagy szerkesztő szerepkörök egyes felhasználók számára feleslegesek lehetnek. Ha az előfizetői vagy a közreműködői jogosultságok elegendőek, maradjon inkább ezeknél.
- Korlátozza a PHP-fájlokhoz való közvetlen hozzáférést. A hackerek speciálisan kialakított HTTP- vagy GET/POST-kéréseket küldhetnek a bővítmények és témák PHP-komponenseinek, hogy megkerüljék a hitelesítési és bemenet-érvényesítési mechanizmusokat. Az ilyen támadások elkerülése érdekében határozzon meg olyan szabályokat, amelyek hibaoldalt indítanak el ilyen kísérletek esetén.
- Távolítsa el az inaktív felhasználókat. Nézze át a webhelyére bejegyzett felhasználók listáját, és távolítsa el az alvó fiókokat.
- Tiltsa le a felhasználók felsorolását. Annak megakadályozására, hogy a támadók megtekinthessék webhelye felhasználóinak listáját, és megpróbálják kihasználni a konfigurációs hibákat, menjen a .htaccess fájlba, és kapcsolja ki az ott található felhasználói felsorolás funkciót.
- Adjon hozzá egy biztonsági bővítményt. Győződjön meg róla, hogy a bővítményhez tartozik egy webalkalmazás-tűzfal (WAF), amely figyeli a gyanús forgalmat, és blokkolja az ismert és nulladik napi sebezhetőségeket kihasználó célzott támadásokat.