WordPress მოდულის დაუცველობა გავლენას ახდენს 20 მილიონ ჩამოტვირთვაზე

  • Oct 21, 2023

მაისიდან, უსაფრთხოების ფირმა Sucuri-მ აღმოაჩინა WordPress მოდულის კრიტიკული დაუცველობა, რომელიც გავლენას ახდენს ოთხ დანამატზე, რომლებსაც აქვთ თითქმის 20 მილიონი ჩამოტვირთვა.

WordPress მოდულის დაუცველობა

WordPress დანამატის WPTouch-ის ახალი დაუცველობა ხაზს უსვამს უახლეს აღმოჩენების სერიას, რომელიც კრიტიკულად მოქმედებს აქტიურ დანამატებზე, რომლებიც გადმოწერილი და გამოყენებულია WordPress-ის მილიონობით ბლოგერის მიერ.

მაისიდან დაცვის კომპანია სუკური იპოვა უსაფრთხოების სერიოზული ხვრელები WordPress დანამატებში WPTouch (5,670,626 ჩამოტვირთვა), დისკუსია (1,400,003 ჩამოტვირთვა), ყველაფერი ერთ SEO პაკეტში (19,152,355 ჩამოტვირთვა) და MailPoet Newsletters (1,894,474 ჩამოტვირთვა).

Წაიკითხე ეს

WordPress-ის სხვადასხვა ვარიანტების გაგება

წაიკითხე ახლა

თუ WordPress-ის მომხმარებელი ხართ და რომელიმე ამ დანამატს იყენებთ, უმჯობესია დაუყოვნებლივ განაახლოთ ისინი.

ყველა დაუცველობა შესწორებულია თითოეული მოდულის ახალ ვერსიებში. სხვადასხვა vulns შეუძლია თავდამსხმელს საშუალება მისცეს გამოიყენოს თქვენი ვებ – გვერდი ფიშინგისთვის, გამოაგზავნოს SPAM, გახადოს თქვენ უნებლიეთ მავნე პროგრამის ჰოსტად, დაინფიციროს სხვა საიტები (საზიარო სერვერზე) და სხვა.

თუ WordPress-ის ინსტალაციის ადმინისტრატორი ხართ, შეამოწმეთ, რომ გაქვთ თითოეული დაზარალებული მოდულის შემდეგი მიმდინარე ვერსიები:

  • WPTouch (3.4.3)
  • დისკუსია (2.77)
  • ყველაფერი ერთ SEO პაკეტში (2.2.1)
  • MailPoet Newsletters (2.6.9)

Sucuri ახლახანს გახდა სათაურები მისით Alexa-Heartbleed სკანირება აპრილში (გვიჩვენებს, თუ რომელი საიტები იყო ჯერ კიდევ დაუცველი) და როდესაც ფირმამ გამოაქვეყნა თავისი დასკვნები გახმაურებულ DDoS-ზე, რომ გამოიყენა 162000 უცნობი ვებგვერდი შეტევის დასაწყებად.

უახლესი დაუცველობა არის მობილური მოდულის WPTouch-ში, რომელიც თავდამსხმელებს საშუალებას აძლევს ატვირთონ მავნე PHP ფაილები ან უკანა კარები სამიზნე სერვერზე ადმინისტრატორის პრივილეგიების საჭიროების გარეშე.

უსაფრთხოების ხვრელი, რომელიც Sucuri-მ ორშაბათს აღმოაჩინა - რაც რეალურად შეცდომაა WPTouch კოდში - საშუალებას მისცემს თავდამსხმელი, რომ დაიპყროს თქვენი საიტი, ან გაიტაცეს თქვენი საუკეთესო ინდექსირებული გვერდები, სანამ აღმოაჩენთ, რომ ყოფილხართ გატეხილი.

ორშაბათს გამჟღავნება: დაუცველი არა-თაობა WPTouch-ში პოსტი დაწერა სუკურიმ,

ჩვენი რუტინული აუდიტის დროს WAF, ჩვენ აღმოვაჩინეთ ძალიან საშიში დაუცველობა, რომელსაც შეუძლია პოტენციურად დაუშვას მომხმარებელი No ადმინისტრაციული პრივილეგიები, ვინც იყო შესული (როგორიცაა აბონენტი ან ავტორი), რომ ატვირთოთ PHP ფაილები სამიზნე სერვერი.

ცუდი განზრახვის მქონე ვინმეს შეუძლია ატვირთოს PHP backdoor ან სხვა მავნე პროგრამა და ძირითადად დაიპყროს საიტი.

მოკლედ რომ ვთქვათ, თუ თქვენ იყენებთ WPtouch-ს, შემდეგ დაუყოვნებლივ განაახლეთ!

მკვლევარებმა დააზუსტეს, „ეს გამჟღავნება ეხება მხოლოდ WPtouch-ის 3.x ვერსიებს. ადმინისტრატორები, რომლებიც იყენებენ მოდულის 2.x და 1.x ვერსიებს, არ დაზარალდებიან დაუცველობაზე."

სუკურიმ ასევე აღნიშნა, რომ "ეს დაუცველობა შეიძლება გამოჩნდეს მხოლოდ იმ შემთხვევაში, თუ თქვენი ვებსაიტი სტუმრ მომხმარებლებს საშუალებას აძლევს დარეგისტრირდნენ."

ამ შემთხვევაში, მთავარი ის არის, რომ ჩვენ გავამჟღავნეთ დაუცველობა WPtouch გუნდს და მათ სწრაფად განათავსეს პატჩი ინტერნეტში ამ პრობლემის გამოსასწორებლად (ვერსია 3.4.3 – WPtouch Changelog).

თქვენს ვებსაიტზე ამ პრობლემის გამოსასწორებლად, თქვენ მხოლოდ უნდა განაახლოთ მოდული თქვენს ადმინისტრაციულ პანელზე. და როგორც უკვე ვთქვით, ეს უნდა გააკეთოთ რაც შეიძლება მალე.

ახალი ამბები მოჰყვება უახლესი აღმოჩენების რიგს, რომლებიც ავლენენ დიდ რაოდენობას ექსპლოიტისა და შევიწროების შესახებ, რომლებიც ვინმესთვის სერიოზულ შეშფოთებას იწვევს. WordPress-ის ინსტალაციის გაშვება - ეს ასევე ნიშნავს ნებისმიერს თქვენს კომპანიაში, თუ თქვენ გაქვთ განყოფილებები, რომლებიც ასრულებენ PR-ს ან ბლოგინგს WordPress.

განაახლეთ თქვენი დანამატები -- ან სხვაგვარად

1 ივლისს დაცვის ჯგუფი იპოვა სერიოზული დაუცველობა The MailPoet დანამატში, ამბობდა: „თუ ეს მოდული გააქტიურებულია თქვენს ვებსაიტზე, შანსები არ არის თქვენს სასარგებლოდ. თავდამსხმელს შეუძლია გამოიყენოს ეს დაუცველობა სამიზნე საიტზე რაიმე პრივილეგიების/ანგარიშების გარეშე."

ეს შეცდომა სერიოზულად უნდა იქნას მიღებული, ის პოტენციურ თავდამსხმელს აძლევს ძალას, გააკეთოს ყველაფერი, რაც მას სურს მისი მსხვერპლის ვებსაიტზე. ის საშუალებას გაძლევთ ატვირთოთ ნებისმიერი PHP ფაილი.

Sucuri არის როლი: 31 მაისს ისინი აღმოაჩინა ორი სერიოზული დაუცველობა "ყველა ერთში SEO პაკეტში", განსაკუთრებით ფართოდ გამოყენებული დანამატი.

თუ ვინმე ფიქრობს, რომ SEO მოდული vuln არ არის დიდი, მათ დაწერეს:

მიუხედავად იმისა, რომ თავიდან სულაც არ გამოიყურება ასე ცუდად (დიახ, SERP რანგის დაკარგვა არ არის კარგი, მაგრამ არავინ დაშავებულა ამ ეტაპზე, არა?), ჩვენ ასევე აღმოაჩინა, რომ ეს შეცდომა შეიძლება გამოყენებულ იქნას სხვა დაუცველობით, რათა შეასრულოს მავნე Javascript კოდი ადმინისტრატორის კონტროლზე პანელი.

ახლა ეს ნიშნავს, რომ თავდამსხმელს შეუძლია პოტენციურად შეიტანეთ ნებისმიერი Javascript კოდი და გააკეთეთ ისეთი რამ, როგორიცაა ადმინისტრატორის ანგარიშის პაროლის შეცვლა თქვენი ვებსაიტის ფაილებში უკანა კარის დატოვებამდე რათა შემდგომში კიდევ უფრო მეტი „ბოროტი“ საქმიანობა ჩაატაროს.

SEO პაკეტის აღმოჩენიდან მალევე, ივნისის ბოლოს მკვლევარებმაც აღმოაჩინა კრიტიკული დისტანციური კოდის შესრულების (RCE) ხარვეზი პოპულარულ დანამატში "Disqus Comment System".

Disqus-ის საკითხი ეხება მხოლოდ WordPress-ის კონკრეტულ მომხმარებლებს.

მიუხედავად იმისა, რომ ხარვეზი თავისთავად ძალიან საშიშია, ის შეიძლება იყოს მხოლოდ სერვერებზე, რომლებიც იყენებენ WordPress-ს PHP ვერსიით 5.1.6 ან უფრო ადრე.

ეს ასევე ნიშნავს, რომ მხოლოდ WordPress 3.1.4 (ან უფრო ადრე) მომხმარებლები არიან დაუცველები მასზე, რადგან უახლესი გამოშვებები არ უჭერს მხარს ამ ძველ PHP ვერსიებს.

WordPress არის ბლოგინგის პოპულარული პლატფორმა, რომელიც მართავს მსოფლიოს ზოგიერთი ყველაზე ფართოდ კონტენტს წაკითხული და მაღალი ტრეფიკინგის მქონე ვებსაიტები, ეს ყველაფერი WordPress-ს მრავალ პოპულარულს ხდის სამიზნე.