O deficienta de securitate in programul de baza al platformei de blogging WordPress a permis hackerilor sa atace si sa vandalizeze zeci de mii de site-uri. Informatia aparea in editia online a BBC News.

O estimare a unei firme de securitate face trimitere la circa 1,5 milioane de pagini de blog-uri modificate rauvoitor de hackeri. Expertii in securitate cibernetica sustin ca in prezent unii hackeri deja incearca sa preia intru totul controlul asupra site-urilor si nu doar sa modifice tendentios anumite pagini.

WordPress a transmis celor care au bloguri pe aceasta platforma sa faca imediat o actualizare a softului de administrare pentru a evita sa devina victime ale atacului informatic.

Recent, compania de Securitate SUCURI a descoperit o vulnerabilitate critica in sistemul de management de continut web (CMS - Content Management System) WordPress.

Acest sistem este cel mai utilizat la nivel mondial pentru publicarea informatiilor in mediul online.

DESCRIERE

Cercetatorii de la SUCURI au dezvaluit recent faptul ca au descoperit o vulnerabilitate severa, care poate permite unui utilizator neautentificat sa modifice continutul informatiilor publicate online via WordPress.

Dezvoltatorii proiectului WordPress au fost notificati direct de catre cercetori cu privire la aceasta vulnerabilitate si au inceput sa lucreze la un pachet de actualizari ce urmeaza sa rezolve problema.

Vulnerabilitatea rezida in REST API a WordPress si poate duce la o escaladare nedorita de privilegii. Pentru aparitia acesteia a fost nevoie de o serie de greseli in sanitizarea variabilelor de tip GET din cadrul procesului de actualizare a postarilor. Astfel, pentru actualizarea unei postari este nevoie de trimiterea unei cereri de tip GET catre /wp-json/wp/v2/posts/{id}, insa in cadrul functiei, pentru atribuirea catre variabila ID au prioritate cererile GET/POST.

Folosindu-se de aceasta prima omisiune, un atacator poate atribui variabilei ID o valoare alfanumerica prin trimiterea unei cereri GET catre /wp-json/wp/v2/posts/{id}&id=123bla. Apoi, variabila ID este verificata prin tratarea sa ca integer: $id = (int) $request[‘id’], acest lucru ducand la eliminarea caracterelor non-numerice.

cerere-GET-vulnerabilitate-wordpress

Astfel, „123bla” devine „123”, atacatorul putand modifica articolul cu id-ul respectiv, fara sa-i mai fie verificate drepturile.

IMPACT

Acest lucru poate duce la aparitia unor noi bug-uri (defecte) de securitate care ar putea permita unui atacator sa stearga sau sa modifice continut pe paginile unui website neactualizat. Mai mult, poate redirectiona vizitatorii site-ului catre exploit-uri malitioase.

Vulnerabilitatea afecteaza versiunile WordPress 4.7 și 4.7.1. In cazul acestor variante, REST API este activata in mod implicit. Pe de alta parte, versiunile mai vechi nu sunt afectate, chiar daca au un plug-in REST API.

REMEDIERE

Problema de securitate a fost publicata recent, desi era cunoscuta inca din ianuarie, deoarece SUCURI si WordPress au lucrat impreuna la rezolvarea ei inainte de a o anunta publicului larg.

Astfel, odata cu actualizarea WordPress la varianta 4.7.2 acest bug de securitate este inlaturat. Prin urmare, echipa CERT-RO recomanda efectuarea periodica a actualizarilor oferite de sistemele CMS, iar in acest caz update-ul urgent la versiunea 4.7.2 a WordPress. Alternativ, administratorii unor astfel de website-uri ar putea activa update-ul automat, in cazul in care din varii motive nu pot intra periodic pe interfata de administrare.

Pentru asistenta si mentenanta site in vederea actualizarilor platformei si a temei folosite ne puteti contacta folosind formularul de contact!

Surse

https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

http://thehackernews.com/2017/02/wordpress-hack-seo.html

https://cert.ro/index.php/citeste/vulnerabilitate-zero-day-wordpress-actualizare-4-7-2