Οι εισβολείς εκμεταλλεύονται την ευπάθεια της προσθήκης WordPress Zero-Day στο BackupBuddy

Οι εισβολείς εκμεταλλεύονται ενεργά μια κρίσιμη ευπάθεια στο BackupBuddy, ένα plug-in WordPress που υπολογίζεται ότι χρησιμοποιούν 140,000 ιστότοποι για να δημιουργήσουν αντίγραφα ασφαλείας των εγκαταστάσεων τους.

Η ευπάθεια επιτρέπει στους εισβολείς να διαβάζουν και να κατεβάζουν αυθαίρετα αρχεία από επηρεαζόμενους ιστότοπους, συμπεριλαμβανομένων αυτών που περιέχουν πληροφορίες διαμόρφωσης και ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης που μπορούν να χρησιμοποιηθούν για περαιτέρω παραβίαση.

Ο προμηθευτής ασφάλειας WordPress Wordfence ανέφερε ότι παρατήρησε επιθέσεις που στοχεύουν το ελάττωμα από τις 26 Αυγούστου και είπε ότι έχει εμπόδισε σχεδόν 5 εκατομμύρια επιθέσεις since then. The plug-in’s developer, iThemes, issued a patch for the flaw on Sept. 2, more than one week after the attacks began. That raises the possibility that at least some WordPress sites using the software were compromised before a fix became available for the vulnerability.

Σφάλμα διέλευσης καταλόγου

Σε μια δήλωση στον ιστότοπό της, η iThemes περιέγραψε την ευπάθεια διέλευσης καταλόγου ως επίπτωση στους ιστότοπους που εκτελούνται BackupBuddy εκδόσεις 8.5.8.0 έως 8.7.4.1. Προέτρεψε τους χρήστες του plug-in να ενημερώσουν αμέσως στην έκδοση 8.75 του BackupBuddy, ακόμα κι αν δεν χρησιμοποιούν αυτήν τη στιγμή μια ευάλωτη έκδοση του plug-in.

“This vulnerability could allow an attacker to view the contents of any file on your server that can be read by your WordPress installation,” the plug-in maker warned.

iThemes’ alerts provided guidance on how site operators can determine if their website has been compromised and steps they can take to restore security. These measures included resetting the database password, changing their Άλατα WordPress, και περιστρεφόμενα κλειδιά API και άλλα μυστικά στο αρχείο διαμόρφωσης ιστότοπου.

Wordfence said it had seen attackers using the flaw to try to retrieve “sensitive files such as the /wp-config.php and /etc/passwd file which can be used to further compromise a victim.”

Ασφάλεια πρόσθετων WordPress: Ένα ενδημικό πρόβλημα

Το ελάττωμα του BackupBuddy είναι μόνο ένα από τα χιλιάδες ελαττώματα που έχουν αποκαλυφθεί σε περιβάλλοντα WordPress —σχεδόν όλα περιλαμβάνουν πρόσθετα— τα τελευταία χρόνια.

Σε μια αναφορά νωρίτερα φέτος, η iThemes είπε ότι εντόπισε Συνολικά 1,628 αποκαλύφθηκαν ευπάθειες του WordPress in 2021 — and more than 97% of them impacted plug-ins. Nearly half (47.1%) were rated as being of high to critical severity. And troublingly, Το 23.2% των ευάλωτων προσθηκών δεν είχε καμία γνωστή επιδιόρθωση.

Μια γρήγορη σάρωση της Εθνικής βάσης δεδομένων ευπάθειας (NVD) από την Dark Reading έδειξε ότι αρκετές δεκάδες ευπάθειες που επηρεάζουν τους ιστότοπους του WordPress έχουν αποκαλυφθεί μέχρι στιγμής μόνο την πρώτη εβδομάδα του Σεπτεμβρίου.

Τα ευάλωτα πρόσθετα δεν είναι η μόνη ανησυχία για τους ιστότοπους WordPress. Τα κακόβουλα πρόσθετα είναι ένα άλλο ζήτημα. Μια μεγάλης κλίμακας μελέτη πάνω από 400,000 ιστοσελίδες που διεξήγαγαν ερευνητές στο Ινστιτούτο Τεχνολογίας της Τζόρτζια αποκάλυψε εκπληκτικά 47,337 κακόβουλα πρόσθετα έχει εγκατασταθεί σε 24,931 ιστότοπους, οι περισσότεροι από τους οποίους είναι ακόμη ενεργοί.

Ο Sounil Yu, CISO στο JupiterOne, λέει ότι οι κίνδυνοι που ενυπάρχουν στα περιβάλλοντα του WordPress είναι όπως αυτοί που υπάρχουν σε οποιοδήποτε περιβάλλον που αξιοποιεί πρόσθετα, ενσωματώσεις και εφαρμογές τρίτων για να επεκτείνει τη λειτουργικότητα.

“As with smartphones, such third-party components extend the capabilities of the core product, but they are also problematic for security teams because they significantly increase the attack surface of the core product,” he explains, adding that vetting these products is also challenging because of their sheer number and lack of clear provenance.

“Security teams have rudimentary approaches, most often giving a cursory look at what I call the three Ps: popularity, purpose, and permissions,” Yu notes. “Similar to app stores managed by Apple and Google, more vetting needs to be done by the marketplaces to ensure that malicious [plug-ins, integrations, and third-party apps] do not create problems for their customers,” he notes.

Ένα άλλο πρόβλημα είναι ότι ενώ Το WordPress χρησιμοποιείται ευρέως, συχνά τη διαχειρίζονται επαγγελματίες του μάρκετινγκ ή του σχεδιασμού Ιστού και όχι επαγγελματίες πληροφορικής ή ασφάλειας, λέει ο Bud Broomhead, Διευθύνων Σύμβουλος της Viakoo.

“Installing is easy and removing is an afterthought or never done,” Broomhead tells Dark Reading. “Just like the attack surface has shifted to IoT/OT/ICS, threat actors aim for systems not managed by IT, especially ones that are widely used like WordPress.”

Broomhead adds, “Even with WordPress issuing alerts about plug-ins being vulnerabilities, other priorities than security may delay the removal of malicious plug-ins.”