Компания
310,78
рейтинг
28 ноября 2014 в 15:13

Разработка → 84% сайтов на WordPress могут быть взломаны: что дальше?

image

Если вы часто читаете IT-новости, то наверняка уже устали от страшилок об очередной уязвимости, которая нашлась в популярной OS / СУБД / CMS / кофеварке. Поэтому данный пост посвящен не самой уязвимости, а наблюдению за тем, как люди регируют на неё.

Однако сначала — несколько слов о «виновнице торжества». Критическая уязвимость популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании с весёлым названием Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.

Вот как легко это выглядит на практике. Заходим в блог на WordPress и вводим нехороший комментарий:

image

Далее мы видим, как специально сформированный комментарий позволяет обойти проверку и провести XSS-атаку:

image

После захвата админских полномочий злоумышленник может запускать свои коды на сервере, где хостится атакованный блог – то есть развивать атаку по более широкому фронту. Тут самое время вспомнить, что буквально недавно 800 тыс. кредиток было украдено банковским трояном, который распространялся через сайты на WordPress.

Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.

Ну а теперь собственно о реакции. Финские эксперты по безопасности, обнаружившие уязвимость, сообщили о ней вендору 26 сентября. На момент написания этой статьи, то есть два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму на заглавной картинке поста). Из чего финские эксперты делают вывод, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.

На самом деле жертв будет конечно меньше, потому что есть небольшое дополнительное условие для эксплуатации – нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако нас тут интересует именно время жизни уязвимости, и в данном случае это можно наблюдать в реальном времени — следить за статистикой обновления WordPress можно здесь. Хотя вы наверняка и так уже поняли смысл этих цифр: пока гром не грянет, мужик не перекрестится.

Мы также следим за попытками злоумышленников эксплуатировать эту уязвимость «в дикой природе». Для этого применяется сеть выявления атак на приложения на основе PT Application Firewall. Механизм выявления атак, основанный на анализе аномалий, в данном случае отработал прекрасно, и нам даже не пришлось добавлять сигнатуры. Иными словами, PT AF выявлял этот «0 day» с самого начала:

image

На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми – но если у вас старый WordPress, стоит всё-таки обновиться.
Автор: @ptsecurity
Positive Technologies
рейтинг 310,78

Комментарии (32)

  • +3
    На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми – но если у вас старый WordPress, стоит всё-таки обновиться.

    Теперь это лишь вопрос времени.
  • –2
    о, а как залиться через wordpress? у меня так и не получилось с 3.9
  • +1
    Это работает в случае «родной» системы комментирования. А если установлена сторонняя?
    • 0
      В сторонних плагинах для комментирования, например Disqus или Cackle, уязвимость отсутствует, так как форматирование HTML не производится вордпрессом.
  • +2
    Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.


    Таки это не совсем правда. С версии 3.7 в WP появилось автообновление и 20 ноября вышел патч, закрывающий данную уязвимость. Так что обладателям версий 3.9.3, 3.8.5 и 3.7.5 не стоит волноваться.
    • 0
      Стоял 3.9.3 и автообновление не сработало, обновил на 4.0.1 вручную. Левых комментариев не заметил, хотя блог старый но малопосещяемый.
      Автообновление вордпресса непонятно как работает, иногда автообновляется само, а иногда нет. Закономерности в автообновлениях я так и не понял.
      • +1
        Оно работает но постепенно. Я занимаюсь разработкой WP и каждый раз когда выходит такое обновление я получаю овер 30 писем от разных сайтов, где указана моя почта в качестве админской. Как правило все эти сайты обновляются в течении 1-3 дней. Думаю это сделано специально чтобы не создавать хаброэффект.

        Кстати эту функцию можно отключить. Проверьте, может она у Вас выключена?
        • 0
          Обновки ставились, но не всегда, видимо как сказали ниже обновляет оно только минорные версии. Теперь знаю как выключить совсем :D
      • +1
        Автообновление обновляет только минорные версии. Это сделано для того, чтобы сохранить совместимость и работоспособность плагинов и тем.
        То есть, если у Вас была версия 3.9.2, то он обновил до 3.9.3. В версии 3.9.3 была закрыта эта уязвимость, так что обновляться до 4.0.1 только для фикса этой уязвимости было необязательно.
        • 0
          Я так однажды с 3.4.2 на 3.4.5 обновился — шаблон работать вообще перестал =)
        • 0
          Теперь понятно. Непонятно только если уж WP так упёрся что обновляет только минорные версии якобы в заботе о пользователях и их совместимостях, то что мешали выкатить версию 3.9.4. с фиксом безопасности..? Иначе получается что пользы от этих автоапдейтов нет тогда когда они критически нужны.
          • 0
            Обновление 3.9.3 итак содержит фикс для этой уязвимости, 0day отписал же выше, что критическое обновление вышло для всех веток, начиная с 3.7.
            • 0
              Поизучал вопрос, действительно фикс есть в 3.9.3.
    • 0
      Да, вы правы. Около 30% могут спастись автообновлением (если оно работает). Но останется еще более 50% уязвимых пользователей. По-прежнему миллионы. Так что в конечном итоге время жизни уязвимости всё равно будет определяться тем, как будут обновятся эти остальные — которые вручную.
      • +1
        Из которых половина не заходит в админ-интерфейс, потому что давно забросила сайт.
        Но проблему это не решает, естественно.
      • 0
        Если быть точнее, то не около 30%, а 47%. И да, более 50% сайтов остаются потенциально уязвимыми. Из них большая часть скрываются за добросовестными хостинг-провайдерами, которые фильтруют уязвимость на уровне веб-сервера, так что на практике цифра гораздо меньше 84%, которая у вас указано в заголовке.
    • –1
      Тоже хотел об этом отписаться. До минорных версий WP начиная с версии 3.7 обновляется автоматом.

      Но суть проблемы не в WordPress, а в людях которые его используют. Это как обвинять автопроизводителя потому что водитель не сменил вовремя тормозную жидкость и попал в аварию по причине неисправности тормозной системы.
  • 0
    Простите за оффтопик, но у этой финской компании со смешным названием просто ОФИГЕННЫЙ дизайн сайта. klikki.fi Просто песня. Извините еще раз. #fapfapfap
    • +4
      Это не у них, это вот такая штука — BOOTSTRA.386.
  • 0
    Сразу отключил стандартное комментирование (работает через сторонний виджет, который позволяет комментировать, к примеру, при наличии учетки вКонтакте итд) и отключил поиск по блогу. Воткнул в тему поиск по блогу через google. Благо сайту не первый год, индексация хорошо идет и выдает что надо. Так же закрыл панель входа в админку через htaccess. Кажется, провести атаку посредствам XSS я отсек. Поля ввода на сайте не доступны никому. Или ошибаюсь?
  • 0
    Я правильно понимаю, что если на сайте отключена возможность комментирования — сайту ничего не грозит?
    • 0
      Да, верно.
    • 0
      «ничего не грозит» — это слишком оптимистичное заявление. Не грозить может какая-то конкретная уязвимость.
      • 0
        Этот пост про конкретную уязвимость, наверно она и имелась в виду.
  • 0
    Это у вас kibana в PT Application Firewall
    используется
    image
    image
    ?
    • +1
      Да, с kibana можно делать отличные дашборды, мы разрабатываем еще более удобный форк.
      • 0
        Не подскажете, как можно сделать такую же подсветку синтаксиса (данных post-запроса), как на скриншоте у PT? Год назад немного знакомился с кибаной (версии 3 вроде).

        И можно ссылку на форк?)
  • 0
    *занудство on* А как «Pwned!» на первой картинке превратилось в "[a Be Pwned" на второй? *занудство off*
    • 0
      первые две буквы коммента на первой картинке [a
      • 0
        А «Be» и восклицательный знак?
        • 0
          А «Be» превратилось в восклицательный знак, по моему логично.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка