Angribere udnytter aktivt en kritisk sårbarhed i BackupBuddy, et WordPress-plugin, som anslået 140,000 websteder bruger til at sikkerhedskopiere deres installationer.
Sårbarheden giver angribere mulighed for at læse og downloade vilkårlige filer fra berørte websteder, inklusive dem, der indeholder konfigurationsoplysninger og følsomme data såsom adgangskoder, der kan bruges til yderligere kompromittering.
WordPress sikkerhedsleverandør Wordfence rapporterede at observere angreb rettet mod fejlen fra den 26. august og sagde, at det har blokerede tæt på 5 millioner angreb siden da. Plug-in's udvikler, iThemes, udstedte en patch til fejlen den 2. september, mere end en uge efter angrebene begyndte. Det rejser muligheden for, at i det mindste nogle WordPress-websteder, der bruger softwaren, blev kompromitteret, før en rettelse blev tilgængelig for sårbarheden.
En vejvisergennemgang-fejl
I en erklæring på sin hjemmeside beskrev iThemes sårbarheden i mappegennemgang som en indvirkning på de kørende websteder BackupBuddy versioner 8.5.8.0 til 8.7.4.1. Det opfordrede brugere af plug-in'et til straks at opdatere til BackupBuddy version 8.75, selvom de ikke i øjeblikket bruger en sårbar version af plug-in'et.
"Denne sårbarhed kan give en angriber mulighed for at se indholdet af enhver fil på din server, som kan læses af din WordPress-installation," advarede plug-in-producenten.
iThemes' advarsler gav vejledning om, hvordan webstedsoperatører kan afgøre, om deres websted er blevet kompromitteret, og trin, de kan tage for at genoprette sikkerheden. Disse foranstaltninger omfattede nulstilling af databaseadgangskoden, ændring af deres WordPress salte, og roterende API-nøgler og andre hemmeligheder i deres webstedskonfigurationsfil.
Wordfence sagde, at det havde set angribere bruge fejlen til at forsøge at hente "følsomme filer såsom filen /wp-config.php og /etc/passwd, som kan bruges til yderligere at kompromittere et offer."
WordPress Plug-in Sikkerhed: Et endemisk problem
BackupBuddy-fejlen er blot en af tusindvis af fejl, der er blevet afsløret i WordPress-miljøer - næsten alle involverer plug-ins - i de seneste år.
I en rapport tidligere på året sagde iThemes, at den identificerede i alt 1,628 afslørede WordPress-sårbarheder i 2021 - og mere end 97% af dem påvirkede plug-ins. Næsten halvdelen (47.1%) blev vurderet som værende af høj til kritisk sværhedsgrad. Og bekymrende, 23.2 % af sårbare plug-in havde ingen kendt rettelse.
En hurtig scanning af National Vulnerability Database (NVD) af Dark Reading viste, at adskillige dusin sårbarheder, der påvirker WordPress-websteder, er blevet afsløret indtil videre alene i den første uge af september.
Sårbare plug-ins er ikke den eneste bekymring for WordPress-websteder; ondsindede plug-ins er et andet problem. En storstilet undersøgelse af over 400,000 websteder, som forskere ved Georgia Institute of Technology udførte, afdækkede en svimlende 47,337 ondsindede plug-ins installeret på 24,931 websteder, hvoraf de fleste stadig er aktive.
Sounil Yu, CISO hos JupiterOne, siger, at risiciene i WordPress-miljøer er som dem, der findes i ethvert miljø, der udnytter plug-ins, integrationer og tredjepartsapplikationer til at udvide funktionaliteten.
"Som med smartphones udvider sådanne tredjepartskomponenter kerneproduktets muligheder, men de er også problematiske for sikkerhedsteams, fordi de øger kerneproduktets angrebsflade markant," forklarer han og tilføjer, at det også er en udfordring at kontrollere disse produkter. på grund af deres store antal og mangel på klar herkomst.
"Sikkerhedsteams har rudimentære tilgange, som oftest giver et overfladisk blik på det, jeg kalder de tre P'er: popularitet, formål og tilladelser," bemærker Yu. "I lighed med app-butikker, der administreres af Apple og Google, skal der foretages mere kontrol af markedspladserne for at sikre, at ondsindede [plug-ins, integrationer og tredjepartsapps] ikke skaber problemer for deres kunder," bemærker han.
Et andet problem er, at mens WordPress er meget brugt, administreres det ofte af marketing- eller webdesignprofessionelle og ikke it- eller sikkerhedsprofessionelle, siger Bud Broomhead, CEO hos Viakoo.
"Installation er let, og fjernelse er en eftertanke eller aldrig gjort," fortæller Broomhead til Dark Reading. "Ligesom angrebsoverfladen er skiftet til IoT/OT/ICS, sigter trusselsaktører efter systemer, der ikke administreres af it, især dem, der er meget brugt som WordPress."
Broomhead tilføjer: "Selv når WordPress udsender advarsler om, at plug-ins er sårbarheder, kan andre prioriteter end sikkerhed forsinke fjernelsen af ondsindede plug-ins."
