Desetine hiljada sajtova hakovano zbog ranjivosti u MailPoet WordPress pluginu

Vesti, 24.07.2014, 12:14 PM

Pre nekoliko nedelja istraživači firme Sucuri pronašli su ozbiljan bezbednosni propust u MailPoet WordPress pluginu. Tada je apelovano na korisnike da odmah nadograde svoje sajtove jer je reč o ozbiljnoj ranjivosti koja omogućava napadaču da uradi sa sajtom šta god želi, od ubacivanja bilo kakvog koda na ranjivi sajt do zlonamernih aktivnosti kao što su slanje spama ili infekcija računara posetilaca.

S obzirom da je reč o pluginu koji je preuzet više od 1,7 miliona puta, upozorenje koje je tada poslato korisnicima bilo je veoma ozbiljno. Iako tada nisu saopšteni tehnički detalji o otkrivenom bagu, stručnjaci su upozoravali da bag mora da bude ozbiljno shvaćen jer omogućava napadačima kompletnu kontrolu nad sajtom. Pored toga, ako kompromitovani sajt deli server sa drugima, napad se može proširiti i na druge sajtove, upozorili su tada stručnjaci.

Međutim, pre nekoliko dana Sucuri se ponovo oglasio, ovoga puta saopštenjem da je veliki broj WordPress sajtova kompromitovan i da je krivac za to ranjivost u MailPoet.

“Ranjivost u MailPoet je ulazna tačka”, kažu u Sucuriju. To ne znači da vaš web sajt mora imati ovu ranjivost, već da je dovoljno da ona postoji na serveru, na nekom drugom web sajtu, da bi to uticalo i na vaš web sajt.

Analiza je pokazala da su hakovani sajtovi ili koristili MailPoet ili je plugin bio instaliran na drugim sajtovima sa istim deljenim nalogom ("unakrsna kontaminacija").

Napad počinje uvek na isti način, postavljanjem maliciozne teme na sajt. Kada uspeju u tome, napadači pristupaju backdooru u /wp-content/uploads/wysija/themes/mailp/ koji kreira administratorski nalog nazvan 1001001.

Backdoor kod se ubacuje u sve ključne fajlove, a najveći problem je to što se prepisuju svi dobri fajlovi, što veoma otežava posao oporavka bez dobrog backupa.

Ako vidite ovu grešku na sajtu Parse error: syntax error, unexpected ')' in /home/user/public_html/site/wp-config.php on line 91, to znači da je sajt hakovan zahvaljujući ovoj ranjivosti.

Prema podacima dobijenim od besplatnog skenera za proveru sajtova firme Sucuri, broj hakovanih sajtova na dnevnom nivou raste, počev od 19. jula kada je samo toga dana zabeleženo više od 1000 hakovanih sajtova. Međutim, stručnjaci kažu da je broj hakovanih sajtova daleko veći.

Preporuka administratorima je da ili nadograde plugin najnovijom verzijom ili da što pre uklone ranjivu komponentu.