Több százezer oldalt fenyeget egy WordPress plugin aktívan kihasznált sebezhetősége
A ThemeGrill Demo Importer hibáját kihasználva törölhető a weblapok teljes tartalma, és teljes mértékben átvehető lehet az irányítás fölöttük.
Aktívan kihasznált WordPress plugin sérülékenység fenyeget mintegy 100 ezer weboldalt - figyelmeztettek a WebARX biztonsági szakértői. A biztonsági rést kihasználva minden, az egyes oldalakhoz kapcsolódó adatbázis törölhető, illetve bizonyos esetekben teljes mértékben átvehető a kontroll az érintett weboldal fölött.
A hibáról a szakértők először hétvégén számoltak be, azóta pedig méretes támadási hullám vette kezdetét a plugint használó weboldalak ellen. Egész pontosan a ThemeGrill Demo Importer pluginről van szó, amely jelenleg csaknem 100 ezer oldalon található meg - ez ugyanakkor számottevő javulást jelent, február 15-én ugyanis a telepítések száma még 200 ezer fölött járt. Az érintett felhasználók úgy tűnik rohamléptekben elkezdték törölni a plugint, a támadások kivédése végett.
A sérülékenység a ThemeGrill Demo Importer 1.3.4-től 1.6.1-ig terjedő verzióit érinti. A biztonsági rés kihasználásához az adott oldalon kell lennie egy a ThemeGrill által kiadott, telepített és aktivált témának, ahhoz pedig hogy a támadó az irányítást is átvehesse a lap felett, egy "admin" néven regisztrált felhasználó is kell hogy legyen az adatbázisban - a támadók ugyanakkor ez utóbbi nélkül is törölni tudják az oldalak tartalmát. A WebARX szakértői szerint a hiba mintegy három éve jelen van jelen a szoftverben.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A kutatók blogposztja szerint a sebezhetőség egy hiányzó autentikációs lépcsőre vezethető vissza a pluginben, amelynek hála néhány megfelelően preparált webrequest elküldésével oldalak alapértelmezett, azaz üres állapotukra állíthatók vissza - ez a WordPress felületeknél jellemzően egy egyszerű "Hello world" feliratot jelent. Abban az esetben, ha a kapcsolódó adatbázisban akad admin felhasználó, annak profiljával a rendszer a potenciális támadót a visszaállítást követően automatikusan bejelentkezteti, immár felvértezve az oldal kezeléséhez szükséges jogosultságokkal is.
A plugin fejlesztői már kiadtak egy javítást a problémára, igaz ehhez a WebARX-nek egy ideig nógatnia kellett őket. A cég ugyanis február 6-án fedezte fel a hibát, amit aznap jelzett is a ThemeGrill felé - választ azonban február 11-ig sem kapott, ekkor másodjára is megkísérelte felvenni a fejlesztőkkel a kapcsolatot, akik végül február 14-én válaszoltak és 16-án adták ki a javítást a súlyos sérülékenységre. A felhasználók ugyanakkor úgy néz ki nem frissítenek elég gyorsan, a támadások ugyanis a hét elején felpörögtek, a WebARX azokból több mint 16 ezret blokkolt február 16. óta. Miután a támadók nem tudják előre, hogy egy-egy oldalnál lesz-e admin nevű profil, igyekeznek minél több weblapon végigpróbálgatni a sebezhetőséget, törölt oldalak sokaságát hagyva maguk után.