Ostrzeżenie! Luka w zabezpieczeniach wtyczki WordPress zagraża milionom stron
Znowu nadchodzi ten czas w miesiącu, kiedy pojawia się kolejna luka w zabezpieczeniach wtyczki WordPress, prawie jak w zegarku. Tym razem luka dotyczy wtyczki o nazwie UpdraftPlus, która jest zainstalowana w około 3 milionach stron internetowych obsługujących platformę wydawniczą.
Uprzywilejowany dostęp do kopii zapasowych
Problem został odkryty przez badacza bezpieczeństwa Marca Montpasa, a później został szczegółowo zbadany przez Wordfence - zespół specjalizujący się w bezpieczeństwie WordPress. Usterka w UpdraftPlus została skodyfikowana pod CVE 2022-0633 i otrzymała ocenę ważności 8,5 lub wysoką.
Luka ta umożliwiała każdemu aktywnemu i pomyślnie zalogowanemu użytkownikowi na dowolnej witrynie WordPress, na której działa UpdraftPlus, pobranie istniejących kopii zapasowych witryny – coś, co powinno być możliwe tylko przy podwyższonych uprawnieniach, takich jak te posiadane przez administratorów.
Możliwość pobrania wszystkich danych z kopii zapasowej może prowadzić do różnego rodzaju problemów w przyszłości, od kradzieży poświadczeń po dostęp do poufnych i uprzywilejowanych informacji.
Wordfence wyjaśnił, że jeśli potencjalny zły aktor wyśle specjalnie dostosowany puls do witryny, uzyska dostęp do „dziennika kopii zapasowej zawierającego numer jednorazowy kopii zapasowej i znacznik czasu”. Wszystkie trzy razem mogą być użyte do zbiorczego pobrania kopii zapasowej witryny.
Popularne wtyczki oferują dużą powierzchnię ataku
Luka nie jest aż tak straszna, jak się wydaje, ponieważ jeśli to działanie zostanie wykonane przez zewnętrznego złego aktora, haker nadal będzie musiał mieć regularny dostęp do instancji platformy WordPress dla tej witryny. Jednak wystarczyłoby mieć zestaw zhakowanych danych logowania, aby to zrobić. Badacze uważają, że jest to równoważone faktem, że UpdraftPlus jest bardzo popularny i jest zainstalowany na około 3 milionach stron internetowych.
Tylko w styczniu 2022 r. we wtyczkach WordPress wykryto kilka błędów o wysokim stopniu istotności, w tym jeden z oceną ważności 10. Problem z wadami wtyczek polega na tym, że wiele z tych wtyczek jest powszechnie stosowanych, podobnie jak w przypadku UpdraftPlus, co prowadzi do bardzo duża potencjalna powierzchnia ataku dostępna dla potencjalnych podmiotów zagrażających.