Sytuacja kobiet w IT w 2024 roku
12.04.20193 min
Michael Litwin

Michael LitwinIT Content Writer

Krytyczne zagrożenie dla witryn w Wordpressie

Sprawdź, czy korzystasz z wtyczki do Wordpressa - Yuzo Related Post, która zagraża 60 000 stron.

Krytyczne zagrożenie dla witryn w Wordpressie

Przedwczoraj, wchodząc na stronę Mailgun — usługi automatyzacji poczty, można było trafić na nieprzyjemną niespodziankę w formie redirectu, czy to na spamerskie strony pełne reklam, malware’u lub na prośbę pobrania nieproszonego gościa w postaci “update’u” dla wtyczek przeglądarki. Problem był na szczęście szybko rozwiązany, strona została zresetowana w ciągu dwóch godzin, a Mailgun wystosował szybki, choć niepokojąco brzmiący raport:

“Dzisiaj, około godziny 9:00 czasu UTC, strona internetowa mailgun.com zaczęła przekierowywać do witryn spoza naszej domeny. Natychmiast rozpoczęliśmy incydent, aby określić źródło przekierowań i ustaliliśmy, że wtyczka do WordPressa była odpowiedzialna za wydawanie przekierowań. Wyłączyliśmy wtyczkę odpowiedzialną za ten problem. Ten problem nie wpłynął na nasze aplikacje, w tym na Mailgun Dashboard, API i dane klientów, przechowywane na naszej platformie.”

Wtyczka, o której mowa, to Yuzo Related Post autorstwa Lenina Zapaty. Wtyczka w tym momencie nie jest już dostępna do pobrania, a sam twórca prosi o jej natychmiastowe usunięcie. Towarzysza Zapatę jednak możemy co najwyżej posądzać o niedostateczne zabezpieczenie swojej wtyczki, gdyż prawdziwi sprawcy wykorzystali lukę w sposobie, w jaki wtyczka współgra z Wordpressem, by obejść zabezpieczenia. Sprawa jest poważna.

Opis działania luki został zbadany i dostarczony we wpisie na blogu Wordfence, firmy oferującej zaporę i zabezpieczenia dla Wordpressa.

“Luka w Yuzo Related Posts wynika z braku sprawdzania autentyczności w procedurach wtyczek odpowiedzialnych za przechowywanie ustawień w bazie danych. W rezultacie nieuwierzytelniony atakujący może wprowadzić szkodliwą zawartość, taką jak ładunek JavaScript, do ustawień wtyczki. Ten ładunek jest następnie wstawiany do szablonów HTML i wykonywany przez przeglądarkę internetową, gdy użytkownicy odwiedzają zainfekowaną witrynę. Ten problem bezpieczeństwa może zostać wykorzystany do zablokowania dostępu do stron internetowych, przekierowania użytkowników do niebezpiecznych witryn lub złamania zabezpieczeń kont administratora WordPress.”

Choć Mailgun jest na pewno największą i najbardziej znaną firmą dotkniętą tym problemem, nie jest jedyną. Wiele użytkowników wtyczki zgłosiło problem na forum wsparcia Wordpressa oraz w dyskusjach na StackOverflow. Statystyki Wordpressa wskazują na ponad 60 zagrożonych stron, które używały wtyczki.

Ciekawostką jest fakt, że lukę odkrył jeden z użytkowników, i zamiast zgłosić ją twórcy poufnie, opublikował swoje znalezisko. Zanim problem został w pełni zauważony, hakerzy już realizowali plan.

Wordfence zwraca uwagę na podobieństwa pomiędzy tym atakiem a innymi z przeszłości, sugerując, że jest to zaplanowany atak z Wordpressem na celowniku.

“Zarówno w tym ataku, jak i wcześniejszych, hakerzy wykorzystywali złośliwy skrypt hostowany na hellofromhony [.] Org, który kieruję na 176.123.9 [.] 53. Ten sam adres IP został użyty w kampaniach SMTP Social Warfare oraz Easy WP.”

Dwie wymienione kampanie również używały exploitów wtyczek Wordpressa, aby przekierowywać użytkowników w niebezpieczne zakątki internetu. Oba ataki odbyły się w drugiej połowie marca.

Warto wyciągnąć z tej historii wnioski i rzucić okiem na strony używanych przez Ciebie wtyczek, czy w obliczu tych wydarzeń nie wprowadziły zmian, update’ów lub wskazówek korzystania. To na pewno nie koniec ataków z wykorzystaniem Wordpressowych wtyczek.

<p>Loading...</p>