Vulnerabilitate WordPress, rezolvată prin ultima actualizare la versiunea 4.7.2

O deficiență de securitate în programul de bază al platformei de blogging WordPress a permis hackerilor să atace şi să vandalizeze zeci de mii de astfel de site-uri, scrie sâmbătă BBC News în ediţia online.

O estimare a unei firme de securitate indică face trimitere la circa 1,5 milioane de pagini de blog-uri modificate răuvoitor de hackeri. Experţii în securitate cibernetică care au identificat vulnerabilitatea susţin că în prezent unii hackeri deja încearcă să preia întru totul controlul asupra site-urilor şi nu doar să modifice tendenţios anumite pagini.

WordPress a transmis celor care au bloguri pe această platformă să facă imediat o actualizare a softului de administrare pentru a evita să devină victime ale atacului informatic.

Recent, compania de Securitate SUCURI a descoperit o vulnerabilitate critică în sistemul de management de conținut web (CMS – Content Management System) WordPress.

Acest sistem este cel mai utilizat la nivel mondial pentru publicarea informațiilor în mediul online.

DESCRIERE

Cercetătorii de la SUCURI a dezvăluit recent faptul că au descoperit o vulnerabilitate severă, care poate permite unui utilizator neautentificat să modifice conținutul informațiilor publicate online via WordPress.

Dezvoltatorii proiectului WordPress au fost notificați direct de către cercetătvulnerabilitate ori cu privire la această vulnerabilitate și au început să lucreze la un pachet de actualizări ce urmau să rezolve problema.

Vulnerabilitatea rezidă în REST API a WordPress și poate duce la o escaladare nedorită de privilegii. Pentru apariția acesteia a fost nevoie de o serie de greșeli în sanitizarea variabilelor de tip GET din cadrul procesului de actualizare a postărilor. Astfel, pentru actualizarea unei postări este nevoie de trimiterea unei cereri de tip GET către /wp-json/wp/v2/posts/{id}, însă în cadrul funcției, pentru atribuirea către variabila ID au prioritate cererile GET/POST.

Folosindu-se de această primă omisiune, un atacator poate atribui variabilei ID o valoare alfanumerică prin trimiterea unei cereri GET către /wp-json/wp/v2/posts/{id}&id=123bla. Apoi, variabila ID este verificată prin tratarea sa ca integer: $id = (int) $request[‘id’], acest lucru ducând la eliminarea caracterelor non-numerice.

cerere-GET-vulnerabilitate-wordpress

Astfel, „123bla” devine „123”, atacatorul putând modifica articolul cu id-ul respectiv, fără să-i mai fie verificate drepturile.

IMPACT

Acest lucru poate duce la apariția unor noi bug-uri (defecte) de securitate care ar putea permite unui atacator să șteargă sau să modifice conținut pe paginile unui website neactualizat. Mai mult, poate redirecta vizitatorii site-ului către exploit-uri malițioase.

Vulnerabilitatea afectează versiunile WordPress 4.7 și 4.7.1. În cazul acestor variante, REST API este activată în mod implicit. Pe de altă parte, versiunile mai vechi nu sunt afectate, chiar dacă au un plug-in REST API.

REMEDIERE

Problema de securitate a fost publicată recent, deși era cunoscută încă din ianuarie, deoarece SUCURI și WordPress au lucrat împreună la rezolvarea ei înainte de a o anunța publicului larg.

Astfel, odată cu actualizarea WordPress la varianta 4.7.2 acest bug de securitate este înlăturat. Prin urmare, echipa CERT-RO recomandă efectuarea periodică a actualizărilor oferite de sistemele CMS, iar în acest caz update-ul urgent la versiunea 4.7.2 a WordPress. Alternativ, administratorii unor astfel de website-uri ar putea activa update-ul automat, în cazul în care din varii motive nu pot intra periodic pe interfața de administrare.

Pentru asistenta si mentenanta site in vederea actualizarilor platformei si a temei folosite ne puteti contacta folosind formularul de contact!

Surse

https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

http://thehackernews.com/2017/02/wordpress-hack-seo.html

https://cert.ro/index.php/citeste/vulnerabilitate-zero-day-wordpress-actualizare-4-7-2

Leave a comment



logo-white

Contact

+4 0755 122 350
contact@inovado.ro

Soseaua Nicolina nr.155,
Iasi, Romania

L-V: 9:00 am - 6:00 pm
Duminica: Inchis

Copyright 2017 © Toate drepturile rezervate.
INOVADO SRL (J22/1567/2016 | CIF: 36283188)