Miliony witryn WordPress otrzymały wymuszoną aktualizację, aby naprawić poważny błąd

0
146

Miliony WordPressa witryny otrzymały wymuszoną aktualizację w ciągu ostatniego dnia, aby naprawić krytyczną lukę we wtyczce o nazwie UpdraftPlus.

Obowiązkowa poprawka pojawiła się na prośbę programistów UpdraftPlus ze względu na wagę luki, która umożliwia niezaufanym subskrybentom, klientom i innym osobom pobranie prywatnej bazy danych witryny, o ile mają konto w witrynie, której dotyczy luka. Bazy danych często zawierają poufne informacje o klientach lub ustawieniach zabezpieczeń witryny, co sprawia, że ​​miliony witryn są podatne na poważne naruszenia bezpieczeństwa danych, które powodują wyciek haseł, nazw użytkowników, adresów IP i nie tylko.

Złe wyniki, łatwe do wykorzystania

UpdraftPlus upraszcza proces tworzenia kopii zapasowych i przywracania baz danych witryn internetowych i jest najczęściej używaną w Internecie wtyczką do zaplanowanego tworzenia kopii zapasowych dla systemu zarządzania treścią WordPress. Usprawnia tworzenie kopii zapasowych danych w Dropbox, Google Drive, Amazon S3 i innych usługach w chmurze. Jego twórcy twierdzą, że pozwala również użytkownikom planować regularne tworzenie kopii zapasowych, jest szybszy i zużywa mniej zasobów serwera niż konkurencyjne wtyczki WordPress.

„Ten błąd jest dość łatwy do wykorzystania, z bardzo złymi wynikami, jeśli zostanie wykorzystany” – powiedział Marc Montpas, badacz bezpieczeństwa, który odkrył lukę i prywatnie zgłosił ją twórcom wtyczek. „Umożliwiło to użytkownikom o niskich uprawnieniach pobranie kopii zapasowych witryny, w tym nieprzetworzonych kopii zapasowych baz danych. Konta o niskich uprawnieniach mogą oznaczać wiele rzeczy. Stali subskrybenci, klienci (na przykład w witrynach e-commerce) itp.”

Montpas, badacz z firmy Jet zajmującej się bezpieczeństwem witryn internetowych, powiedział, że znalazł lukę podczas audytu bezpieczeństwa wtyczki i przekazał szczegóły programistom UpdraftPlus we wtorek. Dzień później programiści opublikowali poprawkę i zgodzili się na wymuszenie jej instalacji w witrynach WordPress, na których zainstalowano wtyczkę.

Statystyki dostarczone przez WordPress.org pokazują, że 1,7 miliona witryn otrzymało aktualizację w czwartek, a ponad 287 000 więcej zainstalowało ją do czasu publikacji. WordPress twierdzi, że wtyczka ma ponad 3 miliony użytkowników.

Ujawniając lukę w czwartek, UpdraftPlus napisał:

Ta wada umożliwia każdemu zalogowanemu użytkownikowi w instalacji WordPressa z aktywnym programem UpdraftPlus skorzystanie z uprawnienia pobierania istniejącej kopii zapasowej, które powinno być ograniczone tylko do użytkowników administracyjnych. Było to możliwe z powodu braku kontroli uprawnień w kodzie związanym ze sprawdzaniem aktualnego stanu kopii zapasowej. Umożliwiło to uzyskanie wewnętrznego identyfikatora, który w innym przypadku był nieznany, a następnie można go wykorzystać do sprawdzenia uprawnień do pobrania.

Oznacza to, że jeśli Twoja witryna WordPress pozwala niezaufanym użytkownikom na logowanie się do WordPressa i jeśli masz istniejącą kopię zapasową, jesteś potencjalnie narażony na atak technicznie wykwalifikowanego użytkownika, który rozpracuje sposób pobrania istniejącej kopii zapasowej. Witryny, których dotyczy problem, są narażone na utratę danych/kradzież danych, jeśli osoba atakująca uzyska dostęp do kopii zapasowej witryny, jeśli witryna zawiera coś niepublicznego. Mówię „technicznie wykwalifikowany”, ponieważ w tym momencie nie przedstawiono żadnego publicznego dowodu, jak wykorzystać ten exploit. W tym momencie polega na tym, że haker dokonuje inżynierii wstecznej zmian w najnowszej wersji UpdraftPlus, aby to rozwiązać. Jednak z pewnością nie powinieneś polegać na tym, że zajmie to dużo czasu, ale powinieneś natychmiast zaktualizować. Jeśli jesteś jedynym użytkownikiem witryny WordPress lub jeśli wszyscy Twoi użytkownicy są zaufani, nie jesteś narażony, ale nadal zalecamy aktualizację w każdym przypadku.

Hakerzy słuchają bicia serca

W swoim ujawnieniu Montpas powiedział, że luka wynika z kilku wad. Pierwszym był implementacja UpdraftPlus funkcji bicia serca WordPress. Program UpdraftPlus nie sprawdzał prawidłowo, czy użytkownicy wysyłający żądania mają uprawnienia administracyjne. Stanowiło to poważny problem, ponieważ funkcja pobiera listę wszystkich aktywnych zadań tworzenia kopii zapasowych oraz datę ostatniej kopii zapasowej witryny. Zawarte w tych danych są niestandardowe wartości jednorazowe używane przez wtyczkę do zabezpieczania kopii zapasowych.

„Atakujący może w ten sposób stworzyć złośliwe żądanie ukierunkowane na to wywołanie zwrotne pulsu, aby uzyskać dostęp do informacji o najnowszej kopii zapasowej witryny do tej pory, która będzie zawierać, między innymi, kopię zapasową”, napisał Montpas.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj