WordPress: poważna luka w module do eksportowania danych i RCE w Windows

20 sierpnia, 2018

Jeżeli zainstalowaliście kiedyś moduł „Export Users to CSV” do CMS WordPress, dzięki któremu mogliście wyeksportować dane o użytkownikach, to teraz koniecznie odinstalujcie / wyłącznie ów plugin, który jest podatny na zdalne wygnanie kodu z uprawnieniami administratora. Według przyznanej oceny na podstawie międzynarodowego standardu CVSS (Common Vulnerability Scoring System) oceny ryzyka / powagi / priorytetu zagrożenia, podatność uzyskała aż 8.8 punktów na 10 możliwych.

Aktualizacji jeszcze nie ma, ale za to jest gotowy exploit, w pełni uzbrojonym, dodany do bazy Exploit Database i pozwalający się szybko zaimportować do Metasploita — narzędzia używanego do testów penetracyjnych i do prawdziwych ataków.

Luka znajduje się w module „Export Users to CSV” w aktualnej wersji 1.1.1 i wcześniejszych. Uwierzytelniony atakujący z prawami zwykłego użytkownika może zapisać w dowolne pole w edycji profilu kod, który po zalogowaniu się administratora i pobraniu arkusza CSV uruchomi dowolne polecenie w systemie operacyjnym, z którego logował się administrator — i z aktualnymi uprawnieniami.  

# 3. Proof Of Concept (PoC):
# Enter the payload =SUM(1+1)*cmd|' /C calc'!A0 in any field of the profile, for example, in biography.
# When the user with high privileges logs in to the application, export data in CSV and opens the
# generated file, the command is executed and the calculator will run open on the machine.

# 4. Payloads:
=SUM(1+1)*cmd|' /C calc'!A0
+SUM(1+1)*cmd|' /C calc'!A0
-SUM(1+1)*cmd|' /C calc'!A0
@SUM(1+1)*cmd|' /C calc'!A0

Chociaż gotowy exploit zawiera uruchomienie kalkulatora, to modyfikacja kodu nie będzie trudna. Atak można wykorzystać do trudniejszych zadań, jak np. infekcji komputera szkodliwym oprogramowaniem — dowolnego rodzaju. Najłatwiej zrobić to za pomocą systemowych interpreterów — na tę i podobne okoliczności przygotowaliśmy praktyczny poradnik ochrony komputerów.

Jeśli osobie atakującej uda się zainfekować system operacyjny za pomocą luki w module do WordPressa, to uzyska ona ogromne pole manewru. Najlepszą rekomendacją jest chwilowe wyłączenie modułu do czasu, aż pojawi się aktualizacja.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]