Getty Images
Hackeri útočia na webové stránky pomocou prominentného doplnku WordPress s miliónmi pokusov o zneužitie veľmi závažnej zraniteľnosti, ktorá umožňuje úplné prevzatie, uviedli vedci.
Zraniteľnosť spočíva v doplnku WordPress Automatic , ktorý má viac ako 38 000 platiacich zákazníkov. Webové stránky s redakčným systémom WordPress ho využívajú na začlenenie obsahu z iných stránok. Výskumníci z bezpečnostnej firmy Patchstack minulý mesiac zverejnili, že WP Automatic verzie 3.92.0 a nižšej má zraniteľnosť s hodnotením závažnosti 9,9 z 10 možných. Vývojár pluginu, ValvePress, v tichosti zverejnil opravu, ktorá je dostupná vo verziách 3.92. 1 a ďalej.
Výskumníci klasifikovali chybu, sledovanú ako CVE-2024-27956, ako injekciu SQL, triedu zraniteľnosti, ktorá pramení zo zlyhania webovej aplikácie pri správnom dotazovaní backendových databáz. Syntax SQL používa apostrofy na označenie začiatku a konca dátového reťazca. Zadaním reťazcov so špeciálne umiestnenými apostrofmi do zraniteľných polí webových stránok môžu útočníci spustiť kód, ktorý vykonáva rôzne citlivé akcie vrátane vrátenia dôverných údajov, udelenia privilégií správcu systému alebo narušenia fungovania webovej aplikácie.
„Táto zraniteľnosť je veľmi nebezpečná a očakáva sa, že bude masovo zneužívaná,“ napísali výskumníci z Patchstacku 13. marca.
Spoločnosť WPScan vo štvrtok uviedla , že od zverejnenia 13. marca spoločnosťou Patchstack zaznamenala viac ako 5,5 milióna pokusov o zneužitie tejto zraniteľnosti. Pokusy, povedal WPScan, začali pomaly a vyvrcholili 31. marca. Firma neuviedla, koľko z týchto pokusov uspelo.
WPScan uviedol, že CVE-2024-27596 umožňuje neovereným návštevníkom webových stránok vytvárať používateľské účty na úrovni správcu, odovzdávať škodlivé súbory a prevziať plnú kontrolu nad dotknutými stránkami. Zraniteľnosť, ktorá spočíva v tom, ako doplnok spracováva autentifikáciu používateľov, umožňuje útočníkom obísť bežný proces autentifikácie a vložiť kód SQL, ktorý im udeľuje zvýšené systémové privilégiá. Odtiaľ môžu nahrávať a spúšťať škodlivé dáta, ktoré premenovávajú citlivé súbory, aby zabránili vlastníkovi stránky alebo ďalším hackerom kontrolovať napadnutú stránku.
Úspešné útoky zvyčajne prebiehajú podľa tohto procesu:
- SQL Injection (SQLi): Útočníci využívajú zraniteľnosť SQLi v doplnku WP‑Automatic na vykonávanie neoprávnených databázových dotazov.
- Vytváranie správcovských používateľov: Vďaka schopnosti vykonávať ľubovoľné SQL dotazy môžu útočníci vytvárať nové používateľské účty na úrovni správcu v rámci WordPress.
- Nahrávanie škodlivého softvéru: Po vytvorení účtu na úrovni správcu môžu útočníci nahrať škodlivé súbory, zvyčajne webové shelly alebo zadné vrátka, na server napadnutej webovej lokality.
- Premenovanie súboru: Útočník môže premenovať zraniteľný súbor WP‑Automatic, aby sa uistil, že ho môže zneužiť iba on.
Výskumníci WPScan vysvetlili:
Akonáhle je stránka WordPress napadnutá, útočníci zaistia dlhovekosť ich prístupu vytvorením zadných vrátok a zahmlením kódu. Aby sa útočníci vyhli detekcii a zachovali si prístup, môžu tiež premenovať zraniteľný súbor WP-Automatic, čo sťažuje vlastníkom webových stránok alebo bezpečnostným nástrojom identifikáciu alebo zablokovanie problému. Stojí za zmienku, že to môže byť aj spôsob, akým sa útočníci snažia vyhnúť iným zlým aktérom, aby úspešne zneužili ich už napadnuté stránky. Keďže útočník môže využiť svoje nadobudnuté vysoké privilégiá na inštaláciu doplnkov a tém na stránku, všimli sme si, že na väčšine napadnutých stránok si útočníci nainštalovali doplnky, ktoré im umožnili nahrávať súbory alebo upravovať kód.
Útoky sa začali krátko po 13. marci, 15 dní po tom, čo ValvePress vydal verziu 3.92.1 bez uvedenia kritickej opravy v poznámkach k vydaniu. Zástupcovia ValvePress neodpovedali okamžite na správu so žiadosťou o vysvetlenie.
Zatiaľ čo výskumníci z Patchstack a WPScan klasifikujú CVE-2024-27956 ako SQL injection, skúsený vývojár uviedol, že zraniteľnosť si prečítal buď v nesprávnej autorizácii ( CWE-285 ) alebo v podkategórii nesprávneho riadenia prístupu ( CWE-284 ).
„ Podľa Patchstack.com má program prijať a vykonať SQL dotaz, ale iba od oprávneného používateľa,“ napísal v online rozhovore vývojár, ktorý nechcel použiť svoje meno. „Zraniteľnosť spočíva v tom, ako kontroluje poverenia používateľa pred vykonaním dotazu, čo umožňuje útočníkovi obísť autorizáciu. SQL injekcia je, keď útočník vloží kód SQL do toho, čo malo byť iba údajmi, a v tomto prípade to tak nie je.“
Bez ohľadu na klasifikáciu je zraniteľnosť taká závažná, ako len môže byť. Používatelia by mali doplnok okamžite opraviť. Mali by tiež starostlivo analyzovať svoje servery z hľadiska známok zneužívania pomocou indikátorov kompromitovaných údajov uvedených v príspevku WPScan, ktorý je prepojený vyššie.
