A támadók aktívan kihasználják a BackupBuddy, a WordPress beépülő modul egy kritikus biztonsági rését, amelyet becslések szerint 140,000 XNUMX webhely használ telepítéseik biztonsági mentésére.
A biztonsági rés lehetővé teszi a támadók számára, hogy tetszőleges fájlokat olvassanak el és töltsenek le az érintett webhelyekről, beleértve azokat is, amelyek konfigurációs információkat és érzékeny adatokat, például jelszavakat tartalmaznak, amelyek további kompromittáláshoz használhatók.
A WordPress biztonsági szállítója, a Wordfence arról számolt be, hogy augusztus 26-tól a hibát célzó támadásokat észlelt, és azt mondta, hogy közel 5 millió támadást blokkolt azóta. A beépülő modul fejlesztője, az iThemes szeptember 2-án, több mint egy héttel a támadások kezdete után kiadott egy javítást a hibára. Ez felveti annak a lehetőségét, hogy legalább néhány, a szoftvert használó WordPress webhelyet feltörtek, mielőtt a sérülékenység javítása elérhető lett volna.
Címtárbejárási hiba
Az iThemes a webhelyén közzétett nyilatkozatában leírta, hogy a címtárbejárással kapcsolatos biztonsági rés hatással van a futó webhelyekre. A BackupBuddy 8.5.8.0 és 8.7.4.1 közötti verziói. Arra kérte a beépülő modul felhasználóit, hogy azonnal frissítsenek a BackupBuddy 8.75-ös verziójára, még akkor is, ha jelenleg nem használják a beépülő modul sebezhető verzióját.
"Ez a sérülékenység lehetővé teheti a támadók számára, hogy megtekintsék a szerverén lévő bármely fájl tartalmát, amelyet a WordPress telepítése elolvashat" - figyelmeztetett a beépülő modul készítője.
Az iThemes figyelmeztetései útmutatást adtak ahhoz, hogy a webhelyek üzemeltetői hogyan állapíthatják meg, hogy webhelyüket feltörték-e, és milyen lépéseket tehetnek a biztonság helyreállítása érdekében. Ezek közé az intézkedések közé tartozott az adatbázis jelszavának visszaállítása, azok megváltoztatása WordPress sók, valamint forgó API-kulcsok és egyéb titkok a webhely-konfigurációs fájljukban.
A Wordfence azt mondta, hogy azt tapasztalták, hogy támadók a hibával próbáltak letölteni „érzékeny fájlokat, például a /wp-config.php és /etc/passwd fájlokat, amelyek felhasználhatók az áldozat további veszélyeztetésére”.
WordPress beépülő modul biztonsága: endemikus probléma
A BackupBuddy hibája csak egy a több ezer olyan hibából, amelyeket a WordPress-környezetekben – szinte mindegyik beépülő modullal – tártak fel az elmúlt években.
Egy év eleji jelentésében az iThemes azt mondta, hogy azonosította összesen 1,628 felfedett WordPress biztonsági rést 2021-ben – és ezek több mint 97%-a érintette a beépülő modulokat. Közel fele (47.1%) magas vagy kritikus súlyosságú volt. És nyugtalanítóan, A sebezhető beépülő modulok 23.2%-ának nem volt ismert javítása.
A Dark Reading által végzett National Vulnerability Database (NVD) gyors átvizsgálása kimutatta, hogy csak szeptember első hetében több tucat WordPress-webhelyeket érintő sebezhetőséget hoztak nyilvánosságra.
A WordPress-webhelyeket nem csak a sebezhető beépülő modulok jelentik. a rosszindulatú beépülő modulok egy másik probléma. A Georgia Institute of Technology kutatói által végzett, több mint 400,000 XNUMX webhelyet vizsgáló nagyszabású tanulmány feltárt egy elképesztő 47,337 XNUMX rosszindulatú beépülő modul 24,931 XNUMX webhelyre telepítve, ezek többsége még mindig aktív.
Sounil Yu, a JupiterOne CISO-ja szerint a WordPress környezetekben rejlő kockázatok olyanok, mint bármely olyan környezetben, amely beépülő modulokat, integrációkat és harmadik féltől származó alkalmazásokat használ a funkcionalitás bővítésére.
„Az okostelefonokhoz hasonlóan az ilyen, harmadik féltől származó komponensek kiterjesztik az alaptermék képességeit, de a biztonsági csapatok számára is problémát jelentenek, mert jelentősen megnövelik az alaptermék támadási felületét” – magyarázza, hozzátéve, hogy ezeknek a termékeknek az átvilágítása is kihívást jelent. puszta számuk és egyértelmű származásuk hiánya miatt.
„A biztonsági csapatoknak kezdetleges megközelítésük van, és legtöbbször felületes pillantást vetnek arra, amit én három P-nek nevezek: népszerűség, cél és engedélyek” – jegyzi meg Yu. „Hasonlóan az Apple és a Google által kezelt alkalmazásboltokhoz, a piactereknek több ellenőrzést kell végezniük annak biztosítása érdekében, hogy a rosszindulatú [bővítmények, integrációk és harmadik féltől származó alkalmazások] ne okozzanak problémákat ügyfeleiknek” – jegyzi meg.
A másik probléma az, hogy közben A WordPress széles körben használatos, gyakran marketing vagy webtervező szakemberek kezelik, nem pedig informatikai vagy biztonsági szakemberek – mondja Bud Broomhead, a Viakoo vezérigazgatója.
„A telepítés egyszerű, az eltávolítás pedig csak utólag vagy soha nem történt meg” – mondja Broomhead a Dark Readingnek. „Ahogyan a támadási felület az IoT/OT/ICS felé tolódott el, a fenyegetés szereplői a nem IT által felügyelt rendszereket célozzák meg, különösen az olyan széles körben használtakat, mint a WordPress.”
Broomhead hozzáteszi: "Még akkor is, ha a WordPress figyelmeztetéseket ad a beépülő modulok sebezhetőségéről, a biztonságon kívül más prioritások is késleltethetik a rosszindulatú beépülő modulok eltávolítását."
