Hakeri koriste propust u WP temi i pluginu, milioni WordPress sajtova ugroženi

Vesti, 08.05.2015, 07:00 AM

Istraživači iz firme Sucuri Security upozorili su da hakeri koriste bezbednosni propust u jednoj WordPress temi i jednom WordPress pluginu, koji su otkrili istraživači Netsparkera.

Bezbednosni propust se nalazi u popularnoj temi instaliranoj po defaultu u svim WordPress instalacijama, i zahvaljujući njemu hakeri mogu preuzeti kontrolu nad ranjivim WordPress sajtovima. Isti propust je kasnije pronađen i u veoma popularnom WordPress pluginu JetPack.

Ranjivost je DOM-based Cross-Site Scripting (XSS) koja postoji zahvaljujući fajlu example.html u paketu genericons koji koriste i JetPack i Twenty Fifteen.

Istraživači iz Sucuri Security primetili su da hakeri koriste ovaj bezbednosni propust pre nego što su informacije o njemu objavljene.

U proof of concept kodu XSS ispisuje javascript upozorenje, ali to može biti iskorišćeno za izvršavanje javascripta u browseru i preuzimanje kontrole nad sajtom ako je korisnik browsera administrator.

Loša vest je da su zbog ovog bezbednosnog propusta ugroženi milioni sajtova, a dobra vest je da su o njemu već obavešteni brojni hosting provajderi - GoDaddy, HostPapa, DreamHost, ClickHost, Inmotion, WPEngine, Pagely, Pressable, Websynthesis, Site5 i SiteGround, koji su praktično ispravili propust.

Iako propust može biti rizičan za milione web sajtova, on ipak nije tako ozbiljan, jer njegovo iskorišćavanje zahteva da napadači ubede administratore da kliknu na exploit link dok se prijavljuju na svoj sajt.

Još jedna dobra vest je da je problem lako rešiv. Treba ukloniti nepotrebni genericons/example.html fajl ili imati WAF ili IDS koji blokira pristup njemu, kažu istraživači.

WordPress je objavio ispravku za propust sa verzijom 4.2.2.

“Sve pogođene teme i pluginove hostovane na WordPress.org (uključujući i Twenty Fifteen default temu) WordPressov tim za bezbednost je ažurirao danas da bi rešio problem uklanjanjem fajla koji nije neophodan”, saopštio je WordPress.

“Da bi pomogli zaštitu drugih korišćenja Genericons, WordPress 4.2.2 proaktivno skenira wp-content direktorijum tražeći ovaj HTML fajl i uklanja ga.”