תוקפים מנצלים באופן פעיל פגיעות קריטית ב-BackupBuddy, תוסף וורדפרס שבו משוערים 140,000 אתרים משתמשים כדי לגבות את ההתקנות שלהם.
הפגיעות מאפשרת לתוקפים לקרוא ולהוריד קבצים שרירותיים מאתרים מושפעים, כולל כאלו המכילים מידע תצורה ונתונים רגישים כגון סיסמאות שניתן להשתמש בהן להמשך פשרה.
יצרנית האבטחה של וורדפרס, Wordfence, דיווחה על התקפות המכוונות לפגם החל מה-26 באוגוסט, ואמרה כי חסם קרוב ל-5 מיליון התקפות מאז. מפתח התוסף, iThemes, הוציא תיקון לפגם ב-2 בספטמבר, יותר משבוע לאחר תחילת ההתקפות. זה מעלה את האפשרות שלפחות חלק מאתרי וורדפרס המשתמשים בתוכנה נפגעו לפני שתיקון הפך זמין לפגיעות.
באג חצת ספריות
בהצהרה באתר האינטרנט שלה, iThemes תיארה את הפגיעות של מעבר ספריות כמשפיעה על אתרי אינטרנט הפועלים BackupBuddy גרסאות 8.5.8.0 עד 8.7.4.1. הוא הפציר במשתמשי הפלאגין לעדכן מיד לגרסה 8.75 של BackupBuddy, גם אם הם אינם משתמשים כעת בגרסה פגיעה של הפלאגין.
"פגיעות זו עלולה לאפשר לתוקף להציג את התוכן של כל קובץ בשרת שלך שניתן לקרוא על ידי התקנת וורדפרס שלך", הזהיר יצרן התוספים.
ההתראות של iThemes סיפקו הנחיות כיצד מפעילי אתרים יכולים לקבוע אם האתר שלהם נפרץ וצעדים שהם יכולים לנקוט כדי לשחזר את האבטחה. אמצעים אלה כללו איפוס סיסמת מסד הנתונים, שינוי שלהם מלחי וורדפרס, וסיבוב מפתחות API וסודות אחרים בקובץ תצורת האתר שלהם.
Wordfence אמרה שהיא ראתה תוקפים משתמשים בפגם כדי לנסות לאחזר "קבצים רגישים כמו הקובץ /wp-config.php ו-/etc/passwd שיכולים לשמש כדי לסכן קורבן עוד יותר".
אבטחת תוסף וורדפרס: בעיה אנדמית
הליקוי ב-BackupBuddy הוא רק אחד מאלפי פגמים שנחשפו בסביבות וורדפרס - כמעט כולם מעורבים בתוספים - בשנים האחרונות.
בדו"ח מוקדם יותר השנה, iThemes אמר שהוא זיהה בסך הכל 1,628 נקודות תורפה חשופות של וורדפרס בשנת 2021 - ויותר מ-97% מהם השפיעו על תוספים. כמעט מחציתם (47.1%) דורגו כבעלי חומרה גבוהה עד קריטית. ובאופן מטריד, ל-23.2% מהפלאגין הפגיעים לא היה תיקון ידוע.
סריקה מהירה של מסד הנתונים הלאומי לפגיעות (NVD) על ידי Dark Reading הראתה שכמה עשרות נקודות תורפה המשפיעות על אתרי וורדפרס נחשפו עד כה בשבוע הראשון של ספטמבר בלבד.
תוספים פגיעים אינם הדאגה היחידה לאתרי וורדפרס; יישומי פלאגין זדוניים הם בעיה נוספת. מחקר רחב היקף של למעלה מ-400,000 אתרי אינטרנט שערכו חוקרים מהמכון הטכנולוגי של ג'ורג'יה חשף 47,337 פלאגינים זדוניים מדהימים מותקן ב-24,931 אתרי אינטרנט, רובם עדיין פעילים.
Sounil Yu, CISO ב-JupiterOne, אומר שהסיכונים הגלומים בסביבות וורדפרס דומים לאלו הקיימים בכל סביבה הממנפת תוספות, אינטגרציות ויישומי צד שלישי כדי להרחיב את הפונקציונליות.
"כמו בסמארטפונים, רכיבי צד שלישי כאלה מרחיבים את היכולות של מוצר הליבה, אבל הם גם בעייתיים עבור צוותי אבטחה מכיוון שהם מגדילים באופן משמעותי את משטח ההתקפה של מוצר הליבה", הוא מסביר ומוסיף שבדיקת המוצרים הללו היא גם מאתגרת. בגלל מספרם העצום וחוסר מקורם ברור.
"לצוותי אבטחה יש גישות ראשוניות, לרוב נותנות מבט חטוף על מה שאני מכנה שלושת ה-Ps: פופולריות, מטרה והרשאות", מציין יו. "בדומה לחנויות אפליקציות המנוהלות על ידי אפל וגוגל, יש צורך לבצע בדיקות נוספות על ידי השווקים כדי להבטיח ש[פלאגינים, אינטגרציות ואפליקציות של צד שלישי] זדוניות לא ייצור בעיות עבור הלקוחות שלהם", הוא מציין.
בעיה נוספת היא שבזמן וורדפרס נמצא בשימוש נרחב, הוא מנוהל לרוב על ידי אנשי שיווק או עיצוב אתרים ולא אנשי IT או אבטחה, אומר באד ברומהד, מנכ"ל Viakoo.
"ההתקנה קלה וההסרה היא מחשבה שלאחר מכן או שמעולם לא נעשה", אומר Broomhead ל-Dark Reading. "בדיוק כמו ששטח ההתקפה עבר ל-IoT/OT/ICS, גורמי איומים מכוונים למערכות שאינן מנוהלות על ידי IT, במיוחד כאלה שנמצאות בשימוש נרחב כמו וורדפרס."
Broomhead מוסיף, "אפילו כש-WordPress מוציאה התראות על נקודות תורפה של תוספים, סדרי עדיפויות אחרים מלבד אבטחה עלולים לעכב את הסרת התוספים הזדוניים."
