Biztonsági kutatók 40 WordPress témát és 53-féle, plugint érintő biztonsági problémát fedeztek fel; általuk a támadók teljes hozzáférést kaphattak az érintett weboldalakhoz.
A WordPress kiegészítőkre szakosodott JetPack csapat biztonsági szakemberei olyan biztonsági problémát fedeztek fel, ami 360 ezer weboldalt érinthet. A kiegészítőkben a készítőjük a közös: a nepáli AccessPress Themes termékeiről van szó.
A fertőzött kiegészítőkben a szakemberek egy web shell droppert találtak, melynek segítségével a támadók átvehették az érintett weboldalak felett a teljes ellenőrzést. Az érdekesség, hogy a gyártó weboldaláról letöltött és telepített kiegészítők voltak csak fertőzöttek, a WordPress.org oldalra feltett kiegészítők viszont nem. Ez is mutatja, hogy klasszikus ellátásilánc-támadással állunk szemben: a hackerek feltehetően a gyártó weboldalának feltörésén keresztül a gyártó termékéhez fértek hozzá.
A sérülékenység kódneve CVE-2021-24876. A weboldalak biztonságával foglalkozó Sucuri cég egy külön elemzésben jelezte, hogy azon weboldalaknál, ahol megtalálták ezt a hátsó ajtót, több esetben régebbi, több mint hároméves spameket is találtak. Ebből viszont arra lehet következtetni, hogy a támadás mögötti hackerek vélhetően már korábbról hozzáféréseket értékesítettek a spam kampányok indítóinak.
Aki a kiegészítőket közvetlenül az AccessPress Theme weboldaláról telepítette, mindenképp frissítsen a már megtisztított verzióra, vagy töltse le a nem fertőzött változatot a WordPress.org oldalról.
A WordPress-t sok weboldal készítésénél használják, népszerűsége miatt sokan támadják is.
Tavaly tavasszal az Elementor plugin és a WP Super Cache sérülékenységei több mint 7 millió weboldalt érintettek. A WordPress File Manager kiegészítő hibája több százezer weboldalon fordulhatott elő 2020 szeptemberében. A WordPress fejlesztői az 5.5-ös verzióba beépítették a témák és a plugin-ok automatikus frissítésének lehetőségét, ezzel is növelve a tartalomkezelő biztonságát.
Forrás: The Hacker News