Skrevet af Jonathan Greig, personaleforfatter Jonathan Greig Medarbejderskribent
Jonathan Greig er journalist baseret i New York City.
Fuld biografi den 18. februar 2022 | Emne: Sikkerhed
Opdateringer er blevet frigivet til UpdraftPlus, et WordPress-plugin med over 3 millioner installationer, efter at en sårbarhed blev opdaget af sikkerhedsforsker Marc Montpas.
I et blogindlæg forklarede Wordfence Threat Intelligence-teamet, at sårbarheden tillader enhver indlogget bruger, inklusive brugere på abonnentniveau, at downloade sikkerhedskopier lavet med pluginnet. Sikkerhedskopier er en skattekiste af følsom information og inkluderer ofte konfigurationsfiler, som kan bruges til at få adgang til webstedets database samt indholdet af selve databasen, forklarede WordPress-sikkerhedsfirmaet.
Forskerne undersøgte plasteret og var i stand til at skabe et proof of concept. I en original version af bloggen sagde Wordfence, at angriberen skulle begynde deres angreb, når en sikkerhedskopiering var i gang, og at han skulle gætte det passende tidsstempel for at downloade en sikkerhedskopi.
Men det blev senere opdateret til at sige, at Wordfence fandt ud af, at det er muligt at få en fuld log indeholdende en backup-nonce og et tidsstempel til enhver tid, “gør denne sårbarhed betydeligt mere udnyttelig.”
UpdraftPlus patchede sårbarheden torsdag i version 1.22.3, og de opfordrede brugerne til at tjekke deres hjemmeside for at sikre sig, at de kørte den nyeste version.
“UpdraftPlus er et populært backup-plugin til WordPress-websteder, og som sådan forventes det, at plugin'et vil give dig mulighed for at downloade dine backups. En af funktionerne som pluginnet implementerede var muligheden for at sende backup-downloadlinks til en e-mail efter webstedsejerens valg. Desværre blev denne funktionalitet implementeret på en usikker måde, hvilket gjorde det muligt for autentificerede brugere på lavt niveau som abonnenter at lave et gyldigt link, der ville give dem mulighed for at downloade backupfiler,” forklarede Wordfence.
“Angrebet starter med WordPress-hjerteslagsfunktionen. Angriberen skal sende en specielt udformet hjerteslagsanmodning indeholdende en data[updraftplus]-parameter. Ved at angive de relevante underparametre kan en angriber få en backup-log indeholdende en sikkerhedskopi og et tidsstempel, som de derefter kan bruge til at downloade en sikkerhedskopi.”
Virksomheden sagde, at problemet drejer sig om UpdraftPlus_Options::admin_page() === $pagenow check. Angribere kan narre $pagenow-kontrollen til at tro, at anmodningen er til options-general.php, mens WordPress stadig ser anmodningen som værende til et tilladt slutpunkt af admin-post.php, ifølge Wordfence.
Wordfence tilføjede, at for at udnytte sårbarheden ville hackeren have brug for en aktiv konto på målsystemet.
“Som sådan vil det sandsynligvis kun blive brugt i målrettede angreb. Konsekvenserne af et vellykket målrettet angreb vil sandsynligvis være alvorlige, da de kan omfatte lækkede adgangskoder og PII, og i nogle tilfælde webstedsovertagelse, hvis angriberen er i stand til at få databasen legitimationsoplysninger fra en konfigurationsfil og få adgang til webstedets database,” sagde Wordfence.
“Som sådan opfordrer vi alle brugere, der kører UpdraftPlus-pluginnet, til at opdatere til den seneste version af plugin'et, som er version 1.22.3, når dette skrives, så hurtigt som muligt, hvis du ikke allerede har gjort det, da konsekvenserne af en vellykket udnyttelse ville være alvorlig.”
Netenrichs John Bambenek fortalte ZDNet, at WordPress repræsenterer en af de største backends af websteder på internettet, og sikkerhedsproblemerne kommer fra dets enorme økosystem af plugins, der kører spektret fra dygtige udviklere til hobbyfolk.
“Adgang til sikkerhedskopierne og databasen vil sandsynligvis først blive brugt til tyveri af legitimationsoplysninger, men der er mange muligheder for angribere at drage fordel af informationen,” sagde Bambenek.
Vulcan Cyber-ingeniør Mike Parkin foreslog at oprette en firewall-regel for at afbøde denne sårbarhed, indtil patchen er anvendt
Sikkerhed
Flere virksomheder bruger multi-faktor Godkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Social virksomhed | Sikkerheds-tv | Datastyring | CXO | Datacentre