Cyberprzestępcy zyskali swobodny dostęp do setek tysięcy witryn na WordPressie
Cyberprzestępcy otrzymali na talerzu dostęp do kilkuset tysięcy witryn wykorzystujących WordPressa. Wszystko przez dziurę w dodatkach InfiniteWP Client oraz WP Time Capsule.
Oba pluginy padły ofiarą tej samej dziury, która pozwala na ominięcie procesu autoryzacji i daje napastnikowi dostęp do samego WordPressa i serwera.
Jedyne, czego przestępca potrzebuje, by ominąć zabezpieczenia jest... znajomość loginu użytkownika WorPressa. Oba pluginy zawierają błędy logiczne, które pozwalaja na zalogowanie się do konta administratora bez znajomości hasła.
Gdy zajrzymy na witrynę z dodatkami do WordPressa możemy przekonać się, że InfiniteWP Client jest wykorzystywany w ponad 300 000 aktywnych instalacji, a z WP Time Capsule korzysta kolejnych ponad 20 000 witryn. Można więc założyć, że w dziury zagrażają bezpieczeństwu ponad 300 000 witryn opartych na WordPressie.
O istnieniu dziur twórcy dodatków zostali poinformowali 7 stycznia, dzień później udostępnili poprawioneich wersje, a dzisiaj publicznie poinformowano o dziurach.
W przypadku InfiniteWP Client na atak narażone są wszystkie wersje dodatku wcześniejsze od 1.9.4.5. Dziura zagraża też WP Time Capsule wcześniejszym od 1.21.16. Użytkownicy wspomnianych dodatków powinni jak najszybciej zainstalować poprawione wersje.
Komentarze (3)
Przemek Kobel, 17 stycznia 2020, 09:15
Phi, tutaj wystarczy znaleźć kogoś rozgarniętego (bo zapewne autorom większości tych stron już dawno podziękowano) i zaktualizować wtyczki. Pomyślcie o takich przypadkach, w których ktoś zrobił stronę na podobnych protezach, tradycyjnie dostał kopa, a potem się okazało, że konieczna jest aktualizacja całego systemu zarządzania (bo dziury i wirusy), ale on wykorzystuje wtyczki, których się już nie da odświeżyć (porzucone projekty), a te stare już nie działają w nowym środowisku...
Dodam, że jest to sytuacja zupełnie nie hipotetyczna.
cyjanobakteria, 18 stycznia 2020, 22:19
Generalnie WP to jest ciężki temat jeżeli chodzi o bezpieczeństwo. Teoretycznie może być całkiem znośnie, ale w praktyce zabezpieczenie i utrzymanie jest problematyczne w porównaniu do innych technologii. Zaczynając od tego, że większość stron jest wykonywana przez freelancerów albo kontraktorów. Pluginy jak i WP core muszą być łatane na bieżąco, praktycznie co 1-2 tygodnie. Można aktualizować automatycznie, ale każdy update może wysypać stronę, w zależności jak jest napisana i ciężko się testuje inaczej niż na produkcji. Po za tym, ze względu na zasięg WP i mnogość pluginów, zdarzają się dość często ataki, które są łatwe w zautomatyzowaniu. Etap powłamaniowy też jest łatwy w automatyzacji.
jkaminski, 20 stycznia 2020, 09:34
WordPress jest fajny, póki nie używasz wtyczek. Kolejna ofiara z popularnym rozszerzeniem. :)