Frissítsük a WordPress tartalomkezelőt

Posted on 7 March, 2019 by Mentor IT Lovag

Ha néhány hónapja nem frissítette WordPress alapú weboldalát, akkor előbb szánjon öt percet a frissítésre. Vagyis azonnal, késlekedés nélkül, még a teljes cikk elolvasása előtt frissítsen. A kutatók olyan biztonsági hibát fedeztek fel a WordPress korábbi változatainak magjában, melynek kihasználásával egy támadó távolról futtatható kóddal veheti át az ellenőrzést a weboldal felett.

A RIPS Technologies GmbH kutatóinak tanulmánya szerint az utóbbi hat évben kiadott WordPress változatok olyan biztonsági hibát tartalmaznak, mely egy alacsony szintű felhasználó számára is lehetővé teszi, hogy távolról átvegye az ellenőrzést a teljes weboldal felett. A fejlesztők a sérülékenységet gyorsan javították, és a jelenlegi WordPress változatok már nem érintettek!

A hiba lényege

Ahhoz, hogy egy adott weboldal támadható legyen, a hackernek első körben meg kell szereznie egy alacsony jogú felhasználó – például author, vagyis szerző – jelszavát, email címét. Erre több lehetőség van: vagy adathalász támadással, vagy pedig az interneten elérhető jelszó és email cím kombinációval próbálkozik a támadó, azt feltételezvén, hogy a felhasználó több weboldalon újrahasznosítja jelszavait.

Ha a támadónak sikerült bejutnia a weboldalra, akár az alacsony jogú felhasználó adatait felhasználva, akkor a WordPress magjában található Path Traversal és Local File Inclusion sérülékenységek felhasználásával átveheti a weboldal felett a támadást – távolról. A támadónak egy adott PHP kódot kell futtatnia a weboldalt tároló szerveren, ahhoz, hogy átvegye felette a teljes ellenőrzést. A támadásról a kutatók egy videót is készítettek:

Így működik a támadás

A sérülékenység a WordPress képmenedzselőjének azt a részét használja ki, ahogyan az a feltöltött képpel kapcsolatos metainformációkat (a kép leírása, méret, alkotó neve stb.) kezeli. A támadó tetszőlegesen módosíthatja ezekkel a képekkel kapcsolatos metainformációkat, ami a Path Traversal sérülékenységhez vezet. Ha a támadó ezt egy másik hibával együtt használja ki – mely a helyi fájlok behelyezésével kapcsolatos, és a Local File Inclusion nevet viseli – akkor másodpercek alatt átveszi az ellenőrzést a kiszemelt weboldal felett.

A 4.9.9-es és későbbi WordPress változatokban a távoli kódfuttatás már nem lehetséges, miután egy másik, nem részletezett sérülékenység kapcsán a véletlenszerű metainformációk beékelését lehetetlenné tették.