Užpuolikai pasinaudojo „WordPress“ trūkumu GDPR- atitikties papildinys, skirtas užgrobti pažeidžiamas svetaines ir įdiegti nuotolinį kodo vykdymą.
Žiūrėti susijusius
Trūkumas buvo „Wordfence“. GDPR atitiktis įskiepis mažiausiai keturis mėnesius ir, ironiška, leido įsilaužėliams pasiekti svetainę naudojant šį įrankį. Tada įsilaužėliai galėtų atlikti bet kokį veiksmą ir atnaujinti bet kokią duomenų bazės reikšmę.
Yra pavyzdžių, kai gyvos svetainės buvo užkrėstos naudojant šį atakos metodą, įskaitant atvejus, kai kenkėjiški veikėjai įdiegia kelias administratoriaus paskyras. „WordPress“ grėsmių analitikas Mikey Veenstra.
SKAITYTI KITAS: Kaip apsisaugoti nuo duomenų pažeidimo
„Pranešti pažeidžiamumai leidžia neautentifikuotiems užpuolikams pasiekti privilegijų eskalavimą ir toliau užkrėsti pažeidžiamas svetaines“, – sakė Veenstra. „Visos svetainės, kuriose naudojamas šis papildinys, turėtų teikti pirmenybę nedelsiant atnaujinti į naujausią versiją arba išjungti ir pašalinti, jei naujinimai neįmanomi.
Dėl išnaudojimo piktybiški veikėjai pridėjo administratoriaus paskyras, kurios paprastai yra „t2trollherten“ ir „t3trollherten“ variantas, taip pat „supervartotojas“, teigiama saugos tinklaraštyje. SucuriPedro Peixoto. Išnaudojimas taip pat buvo susijęs su kenkėjiškos žiniatinklio apvalkalo, pavadinto wp-cache.php, įkėlimu, leidžiančiu užpuolikams neteisėtai pasiekti svetaines.
„Peixoto“ pridėjo vis daugiau „WordPress“ pagrįstų svetainių, kurių URL nustatymai buvo pakeisti į hxxp://erealitatea[.]net, o „Google“ užklausa pateikė daugiau nei 5 000 kenkėjiško URL rezultatų.
„Svarbiausias veiksmas, kurio reikia imtis, yra užtaisyti pažeidžiamumą“, - sakė Peixoto. „Taip pat turėtumėte išjungti vartotojų registraciją ir įsitikinti, kad numatytasis vartotojo vaidmuo nėra nustatytas kaip administratorius.
SKAITYTI KITAS: „Oracle“ ir „Equifax“ apkaltinti GDPR taisyklių nepaisymu
Pleistras su Praėjusią savaitę buvo išleisti trys saugumo pataisymai 1.4.3 versijos pavidalu, tačiau klaida egzistavo mažiausiai keturis mėnesius nuo 1.4.2 versijos išleidimo liepos mėnesį ir galbūt prieš tai. Vartotojai, kurie neatnaujino į naujausią versiją, vis dar yra pažeidžiami.
Kadangi ES Bendrasis duomenų apsaugos reglamentas reikalauja griežtesnių duomenų apsaugos standartų iš visų organizacijų, toks įskiepis patiktų daugeliui „WordPress“ vartotojų, o įrankis gali pasigirti daugiau nei 100 000 aktyvių atsisiuntimai.
Jis parduodamas kaip leidžiantis svetainių savininkams vesti palaikomų papildinių sutikimo žurnalą ir pridėti žymimuosius laukelius prie palaikomų papildinių, kad gautų lankytojo sutikimą. Ji taip pat suteikia vartotojams galimybę laikytis „teisės prieiti“ šifruojant audito žurnalus ir „teisės būti pamirštam“ anonimizuojant vartotojo duomenis.
