Za pomocą dziurawych wtyczek GDPR/RODO można przejąć kontrolę nad WordPressem

18 listopada 2018

Firma Wordfence dostarczająca rozwiązania bezpieczeństwa dla WordPress opublikowała raport o wykorzystaniu luk w rozszerzeniu „WP GDPR Compliance”, które do tej pory zostało zainstalowane ponad 100 tysięcy razy. W zgłoszonych podatnościach zaobserwowano, że wstrzyknięcie stosownego żądania AJAX może umożliwić atakującemu utworzenie nowego użytkownika z uprawnieniami administratora. Niestety jeśli dobrze poszukać, to już można znaleźć automatyczne skrypty próbujące wykorzystać tę lukę. Niektóre z nich mogą odwrócić zmiany wprowadzone przez złośliwy kod, aby utrudnić lub uniemożliwić swoje wykrycie. Wtyczka „WP GDPR Compliance” na czas łatania została usunięta z repozytorium. Administratorom rekomenduje się zaktualizowanie rozszerzenia do wersji 1.4.3.

W innej wtyczce „WooCommerce” zainstalowanej już ponad 4 miliony razy wykryto podobną podatność. Luka może pozwolić zainstalować oficjalny plugin „2MB Autocode” z repozytorium WordPressa i dać atakującym sposobność wstrzyknięcia kodu PHP do każdego postu. W ten sposób atakujący mogą zainstalować backdoora na zaatakowanej stronie.

Zaleca się zaktualizowanie systemu CMS wraz ze wszystkimi pluginami, o ile to możliwe. Dodatkową ochronę zapewnią zablokowane wskaźniki IoC, a także stosowanie zabezpieczeń na poziomie aplikacji za pomocą CloudFlare, Grey Wizard lub rozszerzenia Wordfence. Posiłkowanie się wtyczką Wordfence, która pełni rolę zabezpieczenia przez szkodliwym oprogramowaniem, bakdorami, złośliwymi przekierowaniami i wstrzykiwaniem kodu, jest wręcz obowiązkowe. Klienci wtyczki w wersji premium otrzymują liczne reguły, które są dodawane do bazy zagrożeń przez deweloperów rozszerzenia. Oprogramowanie wyposażone w standardy aplikacyjnej zapory i sygnatur złośliwego oprogramowania będzie w czasie rzeczywistym chroniło przed tymi oraz innymi exploitami.

Hashe złośliwych skryptów:

b6eba59622630b18235ba2d0ce4fcb65
577293e035cce3083f2fc68f684e014bf100faf3
c62180f0d626d92e29e83778605dd8be
83d9688605a948943b05df5c548bea6e1a7fe8da

Adresy IP:

109.234.39.250
195.123.213.91
109.234.37.214
46.39.65.176

URL:

hxxp://pornmam.com/wp.php

Nieautoryzowane nazwy kont użytkowników:

t2trollherten
t3trollherten

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone