Za pomocą dziurawych wtyczek GDPR/RODO można przejąć kontrolę nad WordPressem

18 listopada, 2018

Firma Wordfence dostarczająca rozwiązania bezpieczeństwa dla WordPress opublikowała raport o wykorzystaniu luk w rozszerzeniu „WP GDPR Compliance”, które do tej pory zostało zainstalowane ponad 100 tysięcy razy. W zgłoszonych podatnościach zaobserwowano, że wstrzyknięcie stosownego żądania AJAX może umożliwić atakującemu utworzenie nowego użytkownika z uprawnieniami administratora. Niestety jeśli dobrze poszukać, to już można znaleźć automatyczne skrypty próbujące wykorzystać tę lukę. Niektóre z nich mogą odwrócić zmiany wprowadzone przez złośliwy kod, aby utrudnić lub uniemożliwić swoje wykrycie. Wtyczka „WP GDPR Compliance” na czas łatania została usunięta z repozytorium. Administratorom rekomenduje się zaktualizowanie rozszerzenia do wersji 1.4.3.

W innej wtyczce „WooCommerce” zainstalowanej już ponad 4 miliony razy wykryto podobną podatność. Luka może pozwolić zainstalować oficjalny plugin „2MB Autocode” z repozytorium WordPressa i dać atakującym sposobność wstrzyknięcia kodu PHP do każdego postu. W ten sposób atakujący mogą zainstalować backdoora na zaatakowanej stronie.

Zaleca się zaktualizowanie systemu CMS wraz ze wszystkimi pluginami, o ile to możliwe. Dodatkową ochronę zapewnią zablokowane wskaźniki IoC, a także stosowanie zabezpieczeń na poziomie aplikacji za pomocą CloudFlare, Grey Wizard lub rozszerzenia Wordfence. Posiłkowanie się wtyczką Wordfence, która pełni rolę zabezpieczenia przez szkodliwym oprogramowaniem, bakdorami, złośliwymi przekierowaniami i wstrzykiwaniem kodu, jest wręcz obowiązkowe. Klienci wtyczki w wersji premium otrzymują liczne reguły, które są dodawane do bazy zagrożeń przez deweloperów rozszerzenia. Oprogramowanie wyposażone w standardy aplikacyjnej zapory i sygnatur złośliwego oprogramowania będzie w czasie rzeczywistym chroniło przed tymi oraz innymi exploitami.

Hashe złośliwych skryptów:

b6eba59622630b18235ba2d0ce4fcb65
577293e035cce3083f2fc68f684e014bf100faf3
c62180f0d626d92e29e83778605dd8be
83d9688605a948943b05df5c548bea6e1a7fe8da

Adresy IP:

109.234.39.250
195.123.213.91
109.234.37.214
46.39.65.176

URL:

hxxp://pornmam.com/wp.php

Nieautoryzowane nazwy kont użytkowników:

t2trollherten
t3trollherten

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

[ninja_tables id=”27481″]