Εκατομμύρια ιστότοποι WordPress λαμβάνουν μια αναγκαστική ενημέρωση για να διορθώσουν ένα επιπλέον ελάττωμα σε προσθήκες

Getty Images

Εκατομμύρια ιστότοποι WordPress έλαβαν μια αναγκαστική ενημέρωση την τελευταία ημέρα για να διορθώσουν μια κρίσιμη ευπάθεια σε μια προσθήκη που ονομάζεται UpdraftPlus.

Η υποχρεωτική ενημέρωση κώδικα ήρθε κατόπιν αιτήματος των προγραμματιστών του UpdraftPlus λόγω της σοβαρότητας της ευπάθειας, επιτρέποντας σε μη αξιόπιστους συνδρομητές, πελάτες και άλλους να κάνουν λήψη της βάσης δεδομένων του ιστότοπου, εφόσον έχουν λογαριασμό στον παραβιασμένο ιστότοπο. Οι βάσεις δεδομένων συχνά περιέχουν ευαίσθητες πληροφορίες σχετικά με τους πελάτες ή τις ρυθμίσεις ασφαλείας ιστοτόπων, αφήνοντας εκατομμύρια ιστότοπους ευάλωτους σε σοβαρές παραβιάσεις δεδομένων που διαρρέουν κωδικούς πρόσβασης, ονόματα χρήστη, διευθύνσεις IP και άλλα.

Άσχημα αποτελέσματα, εύκολο στην εκμετάλλευση

Το UpdraftPlus απλοποιεί τη διαδικασία δημιουργίας αντιγράφων ασφαλείας και επαναφοράς βάσεων δεδομένων ιστοτόπων και είναι η πιο ευρέως χρησιμοποιούμενη διαδικτυακή προσθήκη προγραμματιστή για σύστημα διαχείρισης περιεχομένου WordPress. Απλοποιεί τη δημιουργία αντιγράφων ασφαλείας δεδομένων στο Dropbox, το Google Drive, το Amazon S3 και άλλες υπηρεσίες cloud. Οι προγραμματιστές του λένε επίσης ότι επιτρέπει στους χρήστες να προγραμματίζουν τακτικά αντίγραφα ασφαλείας και είναι πιο γρήγορο και χρησιμοποιεί λιγότερους πόρους διακομιστή από τα ανταγωνιστικά πρόσθετα WordPress.

“Αυτό το σφάλμα είναι πολύ εύκολο στην εκμετάλλευση, με μερικά πολύ άσχημα αποτελέσματα εάν γίνει εκμετάλλευση”, δήλωσε ο Mark Monpass, ο ερευνητής ασφάλειας που ανακάλυψε την ευπάθεια και ενημέρωσε τους προγραμματιστές των προσθηκών. “Έχει επιτρέψει σε χρήστες με χαμηλά προνόμια να κατεβάζουν αντίγραφα ασφαλείας ιστοτόπων, τα οποία περιλαμβάνουν ακατέργαστα αντίγραφα ασφαλείας βάσης δεδομένων. Οι λογαριασμοί με χαμηλά προνόμια μπορεί να σημαίνουν πολλά πράγματα. Τακτικοί συνδρομητές, πελάτες (σε ιστότοπους ηλεκτρονικού εμπορίου, για παράδειγμα) κ.λπ..”

Monpass, Ερευνητής στην Εταιρεία Ασφάλειας Ιστοσελίδων Jetpack Scan, είπε ότι ανακάλυψε την ευπάθεια κατά τη διάρκεια ενός ελέγχου ασφαλείας της προσθήκης και παρείχε λεπτομέρειες στους προγραμματιστές του UpdraftPlus την Τρίτη. Μια μέρα αργότερα, οι προγραμματιστές δημοσίευσαν μια επιδιόρθωση και συμφώνησαν να την αναγκάσουν να εγκατασταθεί σε ιστότοπους WordPress που είχαν εγκαταστήσει την προσθήκη.

READ  Η Microsoft μοιράζεται οδηγίες για μια νέα ευπάθεια ασφαλείας στο Windows Print Spooler

Στατιστικά στοιχεία που παρέχονται από το WordPress.org Οθόνες 1,7 εκατομμύρια ιστότοποι έλαβαν την ενημέρωση την Πέμπτη και περισσότεροι από 287.000 άλλοι την είχαν εγκαταστήσει από την ώρα που δημοσιεύτηκε. Το WordPress λέει ότι το πρόσθετο έχει περισσότερους από 3 εκατομμύρια χρήστες.

Στην αποκάλυψη της ευπάθειας την Πέμπτη, το UpdraftPlus Έγραψε:

Αυτό το ελάττωμα επιτρέπει σε κάθε χρήστη που είναι συνδεδεμένος σε μια εγκατάσταση WordPress με ενεργό UpdraftPlus να ασκήσει το δικαίωμα λήψης ενός υπάρχοντος αντιγράφου ασφαλείας, ένα προνόμιο που θα πρέπει να περιορίζεται μόνο σε διαχειριστές χρήστες. Αυτό ήταν δυνατό λόγω της απώλειας των αδειών για έλεγχο κώδικα που σχετίζεται με τον έλεγχο της τρέχουσας κατάστασης δημιουργίας αντιγράφων ασφαλείας. Αυτό επέτρεψε τη λήψη ενός εσωτερικού αναγνωριστικού που κατά τα άλλα ήταν άγνωστο, το οποίο θα μπορούσε στη συνέχεια να χρησιμοποιηθεί για να περάσει η διαδικασία επαλήθευσης με άδεια λήψης.

Αυτό σημαίνει ότι εάν ο ιστότοπός σας στο WordPress επιτρέπει σε μη αξιόπιστους χρήστες να συνδεθούν στο WordPress και εάν έχετε κάποιο υπάρχον αντίγραφο ασφαλείας, είναι πιθανό να είστε ευάλωτοι σε έναν τεχνικά έμπειρο χρήστη που θα βρει πώς να κατεβάσει το τρέχον αντίγραφο ασφαλείας. Οι ιστότοποι που επηρεάζονται διατρέχουν κίνδυνο απώλειας δεδομένων/κλοπής δεδομένων από έναν εισβολέα που αποκτά πρόσβαση σε ένα αντίγραφο του αντιγράφου ασφαλείας του ιστότοπού σας, εάν ο ιστότοπός σας περιέχει οτιδήποτε δεν είναι δημόσιο. Λέω «τεχνικά καταρτισμένος» γιατί σε εκείνο το σημείο δεν έχουν δοθεί γενικές αποδείξεις για το πώς να επωφεληθείς από αυτό το exploit. Προς το παρόν, βασίζεστε σε έναν χάκερ που αντιστρέφει τις αλλαγές στην τελευταία έκδοση του UpdraftPlus για να λύσει αυτό το πρόβλημα. Ωστόσο, σίγουρα δεν πρέπει να βασιστείτε σε αυτό το χρονοβόρο θέμα αλλά να ενημερώσετε αμέσως. Εάν είστε ο μόνος χρήστης στον ιστότοπό σας στο WordPress ή εάν όλοι οι χρήστες σας είναι αξιόπιστοι, δεν διατρέχετε κίνδυνο, αλλά συνιστούμε την ενημέρωση σε κάθε περίπτωση.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.