W poniedziałek 12 listopada Wordfence doniósł o krytycznej podatności wtyczki WP GDPR Compliance dla WordPress. Wtyczka ta zapewnia w teorii zgodność witryny z przepisami GDPR/RODO i posiada ponad 100 tysięcy aktywnych instalacji. W dużym skrócie: każdy anonimowy odwiedzający naszą stronę może zyskać uprawnienia administratora. To z kolei może prowadzić do dalszych problemów i złamania zabezpieczeń serwera.

  Mikey Veenstra – Wordfence

The reported vulnerabilities allow unauthenticated attackers to achieve privilege escalation, allowing them to further infect vulnerable sites.

Problem polega na tym, iż plugin pracuje na kilku typach akcji opartych o plik admin-ajax.php i umożliwia atakującym zmianę konfiguracji WordPressa. Sposób na wykorzystanie tego jest jeszcze prostszy.

Wektor ataku na strony WordPress

Wykorzystując dziurę atakujący może zmienić konfigurację WordPressa w taki sposób, aby umożliwić tworzenie nowych użytkowników (rejestrację). Potem ma możliwość zadania im uprawnień Administratora. W ten sposób ma pełen dostęp do panelu WordPressa i może nim manipulować. Między innymi istnieje możliwość wgrania dodatków do obsługi shella.

Mikey Veenstra – Wordfence

By leveraging this flaw to set the users_can_register option to 1, and changing the default_role of new users to “administrator”, attackers can simply fill out the form at /wp-login.php?action=register and immediately access a privileged account. From this point, they can change these options back to normal and install a malicious plugin or theme containing a web shell or other malware to further infect the victim site.

To już jest pełnoprawny backdoor.

Access Log - atak na WordPress

Jak przeciwdziałać?

Opierając się na informacjach od Wordfence i użytkowników podatność ta jest aktywnie wykorzystywana! Oznacza to, że ponad 100 tysięcy stron WordPress na świecie było podatnych przed wydaniem aktualizacji. Aby upewnić się, że Wasza strona nie jest zagrożona sprawdźcie, czy wtyczka ta jest u Was w wersji wyższej niż 1.4.2. Poprawka bezpieczeństwa zostałą wydana w wersji 1.4.3 i do tej wersji (lub wyższej) należy zaktualizować plugin. Jeśli jest to niemożliwe najlepiej dezaktywować wtyczkę, usunąć ją oraz jej wszystkie dane.

Jeśli dla Ciebie bezpieczeństwo Twojej strony też jest ważne zapoznaj się z naszymi pozostałymi wpisami oraz sprawdź naszą ofertę!

Źródło grafik: [1] [2]


Gniewomir Depowski

Energiczny SysOp z zamiłowaniem do automatyzacji, bezpieczeństwa, Apple i muzyki. Szczęśliwy administrator systemów Unixowych. Równie chętnie pracuje w lini komend, jak i edytorze tekstu – pisarz z zamiłowania. Gitarzysta, wokalista, fascynat nowych technologii i motoryzacji.

Podoba Ci się?Zapisz się do newslettera

Juz nie pominiesz żadnego z naszych nowych wpisów! Zostaw nam swój adres e-mail, a my powiadomimy Cię, gdy ukaże się nowy artykuł na naszym Bezpiecznym Blogu 💪