Angripare utnyttjar aktivt en kritisk sårbarhet i BackupBuddy, en WordPress-plugin som uppskattningsvis 140,000 XNUMX webbplatser använder för att säkerhetskopiera sina installationer.
Sårbarheten tillåter angripare att läsa och ladda ner godtyckliga filer från berörda webbplatser, inklusive de som innehåller konfigurationsinformation och känsliga data som lösenord som kan användas för ytterligare kompromisser.
WordPress-säkerhetsleverantören Wordfence rapporterade att de observerade attacker riktade mot felet från och med den 26 augusti och sa att det har blockerade närmare 5 miljoner attacker sedan dess. Utvecklaren av plugin-programmet, iThemes, utfärdade en patch för felet den 2 september, mer än en vecka efter att attackerna började. Det ger upphov till möjligheten att åtminstone vissa WordPress-webbplatser som använder programvaran äventyrades innan en fix blev tillgänglig för sårbarheten.
En Directory Traversal Bug
I ett uttalande på sin webbplats beskrev iThemes sårbarheten för genomgång av katalogen som att den påverkar webbsidor som körs BackupBuddy versioner 8.5.8.0 till 8.7.4.1. Det uppmanade användare av plugin-programmet att omedelbart uppdatera till BackupBuddy version 8.75, även om de för närvarande inte använder en sårbar version av plug-in.
"Denna sårbarhet kan tillåta en angripare att se innehållet i vilken fil som helst på din server som kan läsas av din WordPress-installation," varnade plugin-tillverkaren.
iThemes varningar gav vägledning om hur webbplatsoperatörer kan avgöra om deras webbplats har äventyrats och åtgärder de kan vidta för att återställa säkerheten. Dessa åtgärder inkluderade att återställa databasens lösenord, ändra deras WordPress-salter, och roterande API-nycklar och andra hemligheter i deras platskonfigurationsfil.
Wordfence sa att det hade sett angripare använda felet för att försöka hämta "känsliga filer som filen /wp-config.php och /etc/passwd som kan användas för att ytterligare kompromissa med ett offer."
WordPress Plug-in Säkerhet: Ett endemiskt problem
BackupBuddy-bristen är bara en av tusentals brister som har avslöjats i WordPress-miljöer - nästan alla involverar plugin-program - de senaste åren.
I en rapport tidigare i år sa iThemes att den identifierade totalt 1,628 XNUMX avslöjade WordPress-sårbarheter 2021 – och mer än 97 % av dem påverkade plugin-program. Nästan hälften (47.1%) bedömdes vara av hög till kritisk svårighetsgrad. Och bekymmersamt, 23.2 % av sårbara plugin-program hade ingen känd fix.
En snabb genomsökning av National Vulnerability Database (NVD) av Dark Reading visade att flera dussin sårbarheter som påverkar WordPress-webbplatser har avslöjats hittills bara under den första veckan i september.
Sårbara plugin-program är inte det enda problemet för WordPress-webbplatser; skadliga plugin-program är ett annat problem. En storskalig studie av över 400,000 XNUMX webbplatser som forskare vid Georgia Institute of Technology genomförde avslöjade en häpnadsväckande 47,337 XNUMX skadliga plugin-program installerade på 24,931 XNUMX webbplatser, de flesta av dem fortfarande aktiva.
Sounil Yu, CISO på JupiterOne, säger att riskerna i WordPress-miljöer är som de som finns i alla miljöer som utnyttjar plug-ins, integrationer och tredjepartsapplikationer för att utöka funktionaliteten.
"Som med smartphones utökar sådana tredjepartskomponenter kärnproduktens möjligheter, men de är också problematiska för säkerhetsteam eftersom de avsevärt ökar attackytan för kärnprodukten", förklarar han och tillägger att det också är en utmaning att kontrollera dessa produkter. på grund av deras stora antal och brist på tydlig härkomst.
"Säkerhetsteam har rudimentära tillvägagångssätt, som oftast ger en översiktlig titt på vad jag kallar de tre Ps: popularitet, syfte och behörigheter," noterar Yu. "I likhet med appbutiker som hanteras av Apple och Google, måste mer granskning göras av marknadsplatserna för att säkerställa att skadliga [plugin-program, integrationer och tredjepartsappar] inte skapar problem för deras kunder", noterar han.
Ett annat problem är att medan WordPress används flitigt, hanteras det ofta av proffs inom marknadsföring eller webbdesign och inte IT- eller säkerhetsproffs, säger Bud Broomhead, VD på Viakoo.
"Installationen är enkel och att ta bort är en eftertanke eller aldrig gjort," säger Broomhead till Dark Reading. "Precis som attackytan har skiftat till IoT/OT/ICS, siktar hotaktörer på system som inte hanteras av IT, särskilt sådana som används ofta som WordPress."
Broomhead tillägger, "Även med WordPress som utfärdar varningar om att plugin-program är sårbarheter, kan andra prioriteringar än säkerhet försena borttagningen av skadliga plug-ins."
