Ründajad kasutavad aktiivselt ära kriitilist turvaauku BackupBuddy's, WordPressi pistikprogrammis, mida hinnanguliselt kasutab 140,000 XNUMX veebisaiti oma installide varundamiseks.
See haavatavus võimaldab ründajatel lugeda ja alla laadida mõjutatud veebisaitidelt suvalisi faile, sealhulgas neid, mis sisaldavad konfiguratsiooniteavet ja tundlikke andmeid, näiteks paroole, mida saab kasutada edasiseks ohustamiseks.
WordPressi turbemüüja Wordfence teatas, et on alates 26. augustist täheldanud veale suunatud rünnakuid ja teatas, et blokeeris ligi 5 miljonit rünnakut sellest ajast. Pistikprogrammi arendaja iThemes väljastas 2. septembril, rohkem kui nädal pärast rünnakute algust, vea jaoks paiga. See suurendab võimalust, et vähemalt mõned tarkvara kasutavad WordPressi saidid sattusid ohtu enne, kui haavatavuse parandus kättesaadavaks sai.
Kataloogi läbimise viga
iThemes kirjeldas oma veebisaidil avaldatud avalduses kataloogi läbimise haavatavust, mis mõjutab töötavaid veebisaite BackupBuddy versioonid 8.5.8.0 kuni 8.7.4.1. See kutsus pistikprogrammi kasutajaid üles viivitamatult värskendama BackupBuddy versioonile 8.75, isegi kui nad ei kasuta praegu pistikprogrammi haavatavat versiooni.
"See haavatavus võib lubada ründajal vaadata mis tahes teie serveris oleva faili sisu, mida teie WordPressi installimine saab lugeda," hoiatas pistikprogrammide tegija.
iThemesi hoiatused andsid juhiseid selle kohta, kuidas saidi operaatorid saavad kindlaks teha, kas nende veebisaiti on ohustatud, ja samme, mida nad saavad turvalisuse taastamiseks võtta. Need meetmed hõlmasid andmebaasi parooli lähtestamist, nende muutmist WordPressi sooladning nende saidi konfiguratsioonifailis pöörlevad API võtmed ja muud saladused.
Wordfence teatas, et on näinud, kuidas ründajad kasutasid viga, et püüda hankida "tundlikke faile, nagu failid /wp-config.php ja /etc/passwd, mida saab kasutada ohvri edasiseks ohustamiseks".
WordPressi pistikprogrammi turvalisus: endeemiline probleem
BackupBuddy viga on vaid üks tuhandetest vigadest, mis on viimastel aastatel WordPressi keskkondades avalikustatud – peaaegu kõik need hõlmavad pistikprogramme.
Selle aasta alguses avaldatud aruandes ütles iThemes, et see tuvastas kokku 1,628 avalikustatud WordPressi turvaauku aastal 2021 – ja enam kui 97% neist mõjutas pistikprogramme. Peaaegu pooled (47.1%) olid kõrge kuni kriitilise raskusastmega. Ja murettekitavalt, 23.2% haavatavatest pistikprogrammidest puudus teadaolevalt parandus.
Dark Readingi National Vulnerability Database (NVD) kiire skannimine näitas, et ainuüksi septembri esimese nädala jooksul on seni avalikustatud mitukümmend WordPressi saite mõjutavat turvaauku.
Haavatavad pistikprogrammid pole WordPressi saitide ainus probleem; pahatahtlikud pistikprogrammid on teine probleem. Georgia Tehnoloogiainstituudi teadlaste poolt läbi viidud ulatuslik uuring, mis hõlmas üle 400,000 XNUMX veebisaidi, avastas jahmatavad 47,337 XNUMX pahatahtlikku pistikprogrammi installitud 24,931 XNUMX veebisaidile, enamik neist on endiselt aktiivsed.
Sounil Yu, JupiterOne'i CISO, ütleb, et WordPressi keskkondadele omased riskid on sarnased iga keskkonnaga, mis kasutab funktsioonide laiendamiseks pistikprogramme, integratsioone ja kolmandate osapoolte rakendusi.
"Nagu nutitelefonide puhul, laiendavad sellised kolmanda osapoole komponendid põhitoote võimalusi, kuid need on probleemsed ka turvameeskondade jaoks, kuna suurendavad oluliselt põhitoote rünnakupinda," selgitab ta ja lisab, et ka nende toodete kontrollimine on keeruline. nende arvukuse ja selge päritolu puudumise tõttu.
"Turvameeskondadel on algelised lähenemisviisid, mis annavad enamasti põgusa pilgu sellele, mida ma nimetan kolmeks P-ks: populaarsus, eesmärk ja load," märgib Yu. "Sarnaselt Apple'i ja Google'i hallatavate rakenduste poodidega peavad turuplatsid rohkem kontrollima, et pahatahtlikud [pistikprogrammid, integratsioonid ja kolmandate osapoolte rakendused] ei tekitaks klientidele probleeme," märgib ta.
Teine probleem on see, et samal ajal WordPress on laialdaselt kasutusel, haldavad seda sageli turunduse või veebidisaini spetsialistid, mitte IT- või turbespetsialistid, ütleb Viakoo tegevjuht Bud Broomhead.
"Paigaldamine on lihtne ja eemaldamine on järelmõte või pole kunagi tehtud," räägib Broomhead Dark Readingile. "Nii nagu ründepind on nihkunud IoT/OT/ICS-ile, on ohus osalejad suunatud süsteemidele, mida IT ei halda, eriti neid, mida kasutatakse laialdaselt nagu WordPress."
Broomhead lisab: "Isegi kui WordPress väljastab hoiatusi pistikprogrammide haavatavuste kohta, võivad muud prioriteedid peale turvalisuse pahatahtlike pistikprogrammide eemaldamist edasi lükata."
