WordPress-sérülékenységeket fedeztek fel

Biztonsági kutatók 40 WordPress témát és 53-féle, plugint érintő biztonsági problémát fedeztek fel; általuk a támadók teljes hozzáférést kaphattak az érintett weboldalakhoz.

A WordPress kiegészítőkre szakosodott JetPack csapat biztonsági szakemberei olyan biztonsági problémát fedeztek fel, ami 360 ezer weboldalt érinthet. A kiegészítőkben a készítőjük a közös: a nepáli AccessPress Themes termékeiről van szó.

A fertőzött kiegészítőkben a szakemberek egy web shell droppert találtak, melynek segítségével a támadók átvehették az érintett weboldalak felett a teljes ellenőrzést. Az érdekesség, hogy a gyártó weboldaláról letöltött és telepített kiegészítők voltak csak fertőzöttek, a WordPress.org oldalra feltett kiegészítők viszont nem. Ez is mutatja, hogy klasszikus ellátásilánc-támadással állunk szemben: a hackerek feltehetően a gyártó weboldalának feltörésén keresztül a gyártó termékéhez fértek hozzá.

A sérülékenység kódneve CVE-2021-24876. A weboldalak biztonságával foglalkozó Sucuri cég egy külön elemzésben jelezte, hogy azon weboldalaknál, ahol megtalálták ezt a hátsó ajtót, több esetben régebbi, több mint hároméves spameket is találtak. Ebből viszont arra lehet következtetni, hogy a támadás mögötti hackerek vélhetően már korábbról hozzáféréseket értékesítettek a spam kampányok indítóinak.

Aki a kiegészítőket közvetlenül az AccessPress Theme weboldaláról telepítette, mindenképp frissítsen a már megtisztított verzióra, vagy töltse le a nem fertőzött változatot a WordPress.org oldalról.

A WordPress-t sok weboldal készítésénél használják, népszerűsége miatt sokan támadják is.

Tavaly tavasszal az Elementor plugin és a WP Super Cache sérülékenységei több mint 7 millió weboldalt érintettek. A WordPress File Manager kiegészítő hibája több százezer weboldalon fordulhatott elő 2020 szeptemberében. A WordPress fejlesztői az 5.5-ös verzióba beépítették a témák és a plugin-ok automatikus frissítésének lehetőségét, ezzel is növelve a tartalomkezelő biztonságát.

Forrás: The Hacker News