Više od 1000 WordPress sajtova kompromitovano preko funkcije automatskog ažuriranja

Vesti, 07.05.2012, 10:31 AM

Mnogi blogeri svesni su važnosti ažuriranja WordPress-a, popularne blog platforme. Da bi korisnicima olakšali ažuriranje programeri WordPress-a su razvili funkciju automatskog ažuriranja koja je dodata verziji 2.7 WordPress-a 2008.godine. Za ažuriranje WordPress-a dovoljno je posetiti stranicu "Update WordPress" (Tools --> Update) i kliknuti na dugme "Update Automatically".

Međutim, sada je više od 1000 WordPress blogova zaraženo malverom koji zloupotrebljava funkciju automatskog ažuriranja ove blog platforme. Ironija je da je kompromitovanje sajtova u ovom slučaju rezultat nastojanja veb mastera da obezbede bezbednost sajtova koristeći automatsko ažuriranje WordPress-a.

Oni koji su odgovorni za napad koji je otkrio Denis Sinegubko, vlasnik sajta Unmask Parasites, pronašli su način da dodaju maliciozni kod u fajl update.php koji je zadužen za ažuriranje WordPress-a. Ovaj kod potom ubacuje drugi kod u wp-settings.PHP fajl a rezultat toga su preusmeravanja posetilaca kompromitovanih WordPress blogova ka "pay-per-click" ("plaćanje po kliku") sajtovima kao i sajtovima koji hostuju malvere.

Update.php fajl sadrži "wp_update_core" funkciju koja proverava dostupna ažuriranja, preuzima nove fajlove, zamenjuje stare fajlove i obavlja sve ostalo potrebno za uspešno ažuriranje WordPreess-a.

Sunegubko tvrdi da je kompromitovanje blogova započelo 20. aprila, ubrzo nakon objavljivanja nove 3.3.2 verzije WordPress-a.

Samo blogovi korisnika koji su uključili funkciju automatskog ažuriranja mogu biti kompromitovani na ovakav način. Oni koji sami (ručno) ažuriraju Wordpress ili preko Subversion (SBV) plugina za upravljanje WordPress-om su bezbedni.

Sve veći broj proizvođača softvera primenjuje automatsko "tiho" ažuriranje koje ne zahteva učešće korisnika u tom procesu. Tako na primer, Google već dugo vremena unazad ažurira svoj brauzer Chrome, a ovakvu praksu sada slede Adobe i Mozilla za Flash odnosno Firefox.