Wiele zagrożonych witryn WordPress jest narażonych na krytyczną lukę w zabezpieczeniach wtyczki zabezpieczającej WordPress, prowadzącą do nieautoryzowanego dostępu administratora. Ta luka w obejściu uwierzytelniania znaleziona w pliku Naprawdę proste bezpieczeństwo podkreśla, jak pilne jest podjęcie działań przez właścicieli witryn.
Naprawdę proste bezpieczeństwo wtyczka ma ocenę zagrożenia 9,8 na 10co wskazuje, jak łatwo można wykorzystać tę lukę. Osoby atakujące będą miały dostęp do witryn internetowych jako dowolny użytkownik, czyli użytkownik z uprawnieniami administracyjnymi. Luki te są klasyfikowane jako luki w zabezpieczeniach związane z nieuwierzytelnionym dostępem i są szczególnie niepokojące, ponieważ wykorzystanie ich nie wymaga znajomości poświadczeń użytkownika.
Ryzyko nieautoryzowanego dostępu wzrasta wraz z luką w zabezpieczeniach wtyczki WordPress
Oznacza to, że nieuwierzytelnieni atakujący mogą uzyskać dostęp do zastrzeżonych obszarów witryny bez nazwy użytkownika i hasła. W szczególności problem występuje w wersjach 9.0.0 do 9.1.1.1 wtyczki ze względu na brak właściwej obsługi błędów sprawdzania poprawności użytkownika w dwuczynnikowych akcjach API REST. Zgadnijcie co – według Wordfence badacze, niezależnie od tego, czy masz włączone uwierzytelnianie dwuskładnikowe, czy nie, luka ta może zostać wykorzystana.
W niecałe 24 godziny Wordfence otrzymał powiadomienie, że blokuje ponad 310 ataków wymierzonych w tę konkretną słabość. Jest już zainstalowany grubo ponad 4 miliony witrynwięc istnieje duże ryzyko dla tych, którzy nie przygotowali się na aktualizację swoich wtyczek. Ponieważ luka ma charakter skryptowy, ryzyko masowego wykorzystania jest wysokie, podobnie jak szybkie wdrożenie potencjalnie złośliwych działań.
Przed ujawnieniem tej luki twórcy tej luki mieli tydzień przewagi nad wprowadzeniem na rynek patch w wersji 9.1.2. Dziennik zmian najnowszej wersji wyraźnie wspomina adres problemu z obejściem uwierzytelniania. Jest to pierwsza oficjalna wtyczka WordPress, która pomogła mi w reaktywnym wysyłaniu powiadomień o aktualizacjach wersji do stron internetowych, na których znajdują się wersje podatne na ataki, przed publicznym ogłoszeniem BŁĘDY, aby dać ostatnią szansę na proaktywną aktualizację.
Szczegóły aktualizacji i odpowiedzi społeczności
To nie pierwszy raz, kiedy słyszymy o lukach w zabezpieczeniach WordPressa; z pewnością nie będzie ostatnim. Mimo to możemy powiedzieć, że ten problem bezpieczeństwa pojawia się stosunkowo blisko po odkryciu innego krytycznego problemu bezpieczeństwa systemu zarządzania nauczaniem WPLMS. Gwoli wyjaśnienia, usterka „Naprawdę proste zabezpieczenia” działa zarówno w wersji bezpłatnej, jak i premium, więc każdy musi już teraz sprawdzić bezpieczeństwo swojej witryny.
Analiza Wordfence podkreśla, w jaki sposób luka wynika z konkretnej funkcji o nazwie „check_login_and_get_user”. Przeoczenie oznacza, że atakujący może po prostu złożyć specjalnie spreparowaną prośbę o zalogowanie się na dowolne istniejące konto użytkownika, w tym konto administratora. Eksperci ostrzegają, że działanie to może mieć szkodliwe konsekwencje, takie jak kradzież strony internetowej sprawcom i dalsze szkodliwe działania.
Ze względu na tę wysoce krytyczną lukę zalecamy każdemu, kto korzysta z wtyczki Naprawdę Simple Security, natychmiastową aktualizację do wersji 9.1.2 lub nowszą. Zabezpieczeniem przed takimi lukami jest aktualizacja wtyczek zabezpieczających do ich najnowszych wersji. Przy niepokojąco dużej liczbie instalacji konsekwencje braku działania mogą być bardzo złe dla tysięcy właścicieli witryn, którzy nie zastosują potrzebnych aktualizacji.
Jednak eksperci ds. bezpieczeństwa po raz kolejny ubolewają, że musimy przyjąć wielowarstwowe podejście do bezpieczeństwa. Każdy administrator witryny powinien regularnie wykonywać kopie zapasowe, silne hasła i kompleksowe skanowanie bezpieczeństwa, aby zaradzić sytuacji poza aktualizacją wtyczek.
Zdjęcia: Furkan Demirkaja/Ideogram
Post Luka w WordPressie zagraża ponad 4 milionom stron internetowych pojawiła się jako pierwsza na TechBriefly.
Source: Luka w WordPressie zagraża ponad 4 milionom stron internetowych
