אַזהָרָה! פגיעות תוסף וורדפרס מאיימת על מיליוני דפים

זה שוב הזמן הזה בחודש, כשעוד פגיעות של תוסף וורדפרס צצה, כמעט כמו שעון. הפעם, הפגיעות נוגעת לפלאגין בשם UpdraftPlus, המותקן בכ-3 מיליון אתרים המריצים את פלטפורמת הפרסום.

גישה מועדפת לגיבויים

הנושא התגלה על ידי חוקר האבטחה מארק מונפאס ובהמשך נבדק בפוסט מפורט של Wordfence - צוות המתמחה באבטחת וורדפרס. הפגם ב-UpdraftPlus תוקן תחת הידית CVE 2022-0633 וקיבל דירוג חומרה של 8.5 או גבוה.

הפגיעות אפשרה לכל משתמש פעיל והתחבר בהצלחה בכל אתר וורדפרס המריץ את UpdraftPlus להוריד גיבויים קיימים של אתרים - דבר שאמור להיות אפשרי רק עם הרשאות גבוהות, כמו אלו שבידי מנהלי מערכת.

היכולת לתפוס את כל נתוני הגיבוי יכולה להוביל לכל מיני בעיות בהמשך הדרך, החל מגניבת אישורים ועד גישה למידע רגיש ומיוחס.

Wordfence הסביר שאם שחקן רע פוטנציאלי ישלח פעימת לב מותאמת במיוחד לאתר, אז הם יקבלו גישה ל"יומן גיבוי המכיל חוסר גיבוי וחותמת זמן". ניתן להשתמש בשלושתם יחד כדי להוריד את הגיבוי של האתר בכמות גדולה.

תוספים פופולריים מציעים משטח התקפה גדול

הפגיעות לא כמעט נוראית כפי שהיא נראית, מכיוון שאם הפעולה הזו מבוצעת על ידי שחקן רע חיצוני, ההאקר עדיין יצטרך לקבל גישה קבועה למופע של פלטפורמת וורדפרס עבור האתר. עם זאת, זה יספיק להחזיק בקבוצה של אישורי כניסה שנפגעו כדי לעשות זאת. חוקרים מאמינים כי הדבר מתקזז על ידי העובדה ש-UpdraftPlus פופולרי מאוד ומותקן בכ-3 מיליון אתרים.

בינואר 2022 לבדו התגלו מספר באגים בעלי חומרה גבוהה בתוספים של וורדפרס , כולל אחד עם דירוג חומרה של 10. הבעיה עם פגמים בתוספים היא שרבים מהתוספים המושפעים מאומצים מאוד, בדומה ל-UpdraftPlus, מה שמוביל ל משטח התקפה פוטנציאלי גדול מאוד הנגיש לגורמי איום פוטנציאליים.