84% сайтів на WordPress схильні до злому

Якщо ви часто читаєте IT-новини, то напевно вже втомилися від страшилок про чергову уразливості, яка знайшлася в популярній OS / СУБД / CMS / кавоварці. Тому даний матеріал присвячений не самої уразливості, а спостереження за тим, як люди регіруют на неї.

Однак спочатку – кілька слів про “винуватиці торжества”. Критична вразливість популярному блоговому движку WordPress була знайдена в вересні фінськими фахівцями з компанії з веселим назвою Klikki Oy. Використовуючи цю діру, хакер може вести як коментар до блогу спеціальний код, який буде виконаний в браузері адміністратора сайту при читанні коментарів. Атака дозволяє приховано перехопити управління сайтом і робити різні неприємні речі під адмінській доступом.

Ось як легко це виглядає на практиці. Заходимо в блог на WordPress і вводимо нехороший коментар:

Далі ми бачимо, як спеціально сформований коментар дозволяє обійти перевірку і провести XSS-атаку: 

Після захоплення адмінських повноважень зловмисник може запускати свої коди на сервері, де хоститься атакований блог – тобто розвивати атаку по більш широкому фронті. Тут саме час згадати, що буквально недавно 800.000 кредиток було украдено банківським трояном, який поширювався через сайти на WordPress.

Дана уразливість стосується всіх версій WordPress від 3.0 і вище. Проблема вирішується оновленням движка до версії 4, де такої проблеми немає.

Ну а тепер власне про реакцію. Фінські експерти з безпеки, що виявили уразливість, повідомили про неї вендору 26 вересня. На момент написання цієї статті, тобто через два місяці після виявлення, оновилося не більше 16% користувачів WordPress (див. Діаграму на головній картинці поста). З чого фінські експерти роблять висновок, що всі інші 84%, тобто кілька десятків мільйонів користувачів даного движка в усьому світі, залишаються потенційними жертвами.

Насправді жертв буде звичайно менше, тому що є невелика додаткова умова для експлуатації – потрібна можливість коментування постів або сторінок (за замовчуванням є без авторизації). Однак нас тут цікавить саме час життя уразливості, і в даному випадку це можна спостерігати в реальному часі – стежити за статистикою поновлення WordPress можна тут. Хоча ви напевно і так вже зрозуміли сенс цих цифр: поки грім не вдарить, мужик не перехреститься.

Ми також стежимо за спробами зловмисників експлуатувати цю уразливість «в дикій природі». Для цього застосовується мережу виявлення атак на додатки на основі PT Application Firewall. Механізм виявлення атак, заснований на аналізі аномалій, в даному випадку відпрацював прекрасно, і нам навіть не довелося додавати сигнатури.

Ссылка на основную публикацию