Зловмисники активно використовують критичну вразливість у BackupBuddy, плагіні WordPress, який приблизно 140,000 XNUMX веб-сайтів використовують для резервного копіювання своїх установок.
Уразливість дозволяє зловмисникам читати та завантажувати довільні файли з уражених веб-сайтів, у тому числі ті, що містять конфігураційну інформацію та конфіденційні дані, такі як паролі, які можуть бути використані для подальшого зламу.
Постачальник безпеки WordPress Wordfence повідомив про спостереження за атаками, націленими на недолік, починаючи з 26 серпня, і сказав, що це заблокував близько 5 мільйонів атак Відтоді. Розробник плагіна iThemes випустив патч для недоліку 2 вересня, більш ніж через тиждень після початку атак. Це підвищує ймовірність того, що принаймні деякі сайти WordPress, які використовують це програмне забезпечення, були скомпрометовані до того, як стало доступним виправлення вразливості.
Помилка проходження каталогу
У заяві на своєму веб-сайті iThemes описав уразливість проходження каталогу як вплив на роботу веб-сайтів Версії BackupBuddy від 8.5.8.0 до 8.7.4.1. Він закликав користувачів плагіна негайно оновити BackupBuddy до версії 8.75, навіть якщо вони зараз не використовують уразливу версію плагіна.
«Ця вразливість може дозволити зловмиснику переглянути вміст будь-якого файлу на вашому сервері, який може прочитати ваша інсталяція WordPress», — попередив виробник плагіна.
Сповіщення iThemes надавали вказівки щодо того, як оператори сайту можуть визначити, чи їхній веб-сайт було зламано, і кроки, які вони можуть вжити для відновлення безпеки. Ці заходи включали скидання пароля бази даних, зміну їх Солі WordPress, а також чергування ключів API та інших секретів у файлі конфігурації сайту.
У Wordfence повідомили, що бачили, як зловмисники використовували недолік, щоб спробувати отримати «конфіденційні файли, такі як /wp-config.php і /etc/passwd, які можуть бути використані для подальшої компрометації жертви».
Безпека плагінів WordPress: ендемічна проблема
Недолік BackupBuddy — це лише одна з тисяч недоліків, які були виявлені в середовищах WordPress — майже всі вони стосуються плагінів — за останні роки.
У звіті на початку цього року iThemes заявив, що ідентифікував загалом 1,628 розкритих уразливостей WordPress у 2021 році — і понад 97% із них вплинули на плагіни. Майже половина (47.1%) були оцінені як такі, що мають високий або критичний ступінь тяжкості. І тривожно, 23.2% вразливих плагінів не мали відомого виправлення.
Швидке сканування національної бази даних уразливостей (NVD), проведене Dark Reading, показало, що лише за перший тиждень вересня було виявлено кілька десятків уразливостей, які впливають на сайти WordPress.
Вразливі плагіни не єдина проблема для сайтів WordPress; Інша проблема – шкідливі плагіни. Масштабне дослідження понад 400,000 XNUMX веб-сайтів, яке провели дослідники з Технологічного інституту Джорджії, виявило приголомшливі 47,337 XNUMX шкідливих плагінів встановлено на 24,931 XNUMX веб-сайтах, більшість із яких досі активні.
Суніл Ю, керівник відділу інформаційних технологій у JupiterOne, каже, що ризики, притаманні середовищам WordPress, такі ж, як і в будь-якому середовищі, яке використовує плагіни, інтеграцію та програми сторонніх розробників для розширення функціональності.
«Як і у випадку зі смартфонами, такі компоненти сторонніх розробників розширюють можливості основного продукту, але вони також є проблематичними для команд безпеки, оскільки значно збільшують поверхню атаки основного продукту», — пояснює він, додаючи, що перевірка цих продуктів також складна. через їх величезну кількість і відсутність чіткого походження.
«Команди безпеки мають рудиментарні підходи, найчастіше дають побіжний погляд на те, що я називаю трьома P: популярність, мета та дозволи», — зазначає Ю. «Подібно до магазинів додатків, якими керують Apple і Google, ринки повинні проводити більше перевірок, щоб переконатися, що шкідливі [плагіни, інтеграції та програми сторонніх розробників] не створюють проблем для їхніх клієнтів», — зазначає він.
Інша проблема полягає в тому, що поки WordPress широко використовується, нею часто керують спеціалісти з маркетингу чи веб-дизайну, а не спеціалісти з ІТ чи безпеки, каже Бад Брумхед, генеральний директор Viakoo.
«Встановлення легко, а видалення — це запізніла думка або взагалі не виконується», — розповідає Брумхед Dark Reading. «Подібно до того, як поверхня атаки перемістилася на IoT/OT/ICS, зловмисники націлені на системи, які не керуються ІТ, особливо ті, які широко використовуються, як-от WordPress».
Брумхед додає: «Навіть якщо WordPress видає сповіщення про те, що плагіни є вразливими, інші пріоритети, крім безпеки, можуть затримати видалення шкідливих плагінів».
