Getty Images
Pēdējās dienas laikā miljoniem WordPress vietņu saņēma piespiedu atjauninājumu, lai novērstu spraudņa UpdraftPlus kritisko ievainojamību.
Obligātais ielāps nāca pēc UpdraftPlus izstrādātāju pieprasījuma ievainojamības nopietnības dēļ, ļaujot neuzticamiem abonentiem, klientiem un citiem lejupielādēt vietnes datu bāzi, ja vien viņiem ir konts apdraudētajā vietnē. Datubāzes bieži satur sensitīvu informāciju par klientiem vai vietņu drošības iestatījumiem, tādējādi miljoniem vietņu ir neaizsargātas pret nopietniem datu pārkāpumiem, kas nopludina paroles, lietotājvārdus, IP adreses un citus.
Slikti rezultāti, viegli izmantojami
UpdraftPlus vienkāršo vietņu datu bāzu dublēšanas un atjaunošanas procesu un ir visplašāk izmantotais tiešsaistes plānotāja spraudnis WordPress satura pārvaldības sistēmai. Tas vienkāršo datu dublēšanu Dropbox, Google Drive, Amazon S3 un citos mākoņpakalpojumos. Tās izstrādātāji arī apgalvo, ka tas ļauj lietotājiem ieplānot regulāras dublēšanas, un tas ir ātrāks un izmanto mazāk servera resursu nekā konkurējošie WordPress spraudņi.
“Šo kļūdu ir ļoti viegli izmantot, un tās izmantošanas gadījumā ir daži ļoti slikti rezultāti,” sacīja Marks Monpass, drošības pētnieks, kurš atklāja ievainojamību un informēja spraudņa izstrādātājus. “Tas ļāva mazpriviliģētiem lietotājiem lejupielādēt vietņu dublējumkopijas, tostarp neapstrādātas datubāzes dublējumkopijas. Konti ar zemu priviliģētu statusu var nozīmēt daudz ko. Regulāri abonenti, klienti (piemēram, e-komercijas vietnēs) utt.”
Vietņu drošības firmas Jet pētnieks Monpass sacīja, ka viņš atklāja ievainojamību spraudņa drošības audita laikā un otrdien sniedza detalizētu informāciju UpdraftPlus izstrādātājiem. Dienu vēlāk izstrādātāji publicēja labojumu un piekrita piespiest to instalēt WordPress vietnēs, kurās bija instalēts spraudnis.
Statistiku nodrošina WordPress.org Displeji Ceturtdien atjauninājumu saņēma 1,7 miljoni vietņu, un vairāk nekā 287 000 citu vietņu tas bija instalēts līdz presei. WordPress saka, ka spraudnim ir vairāk nekā 3 miljoni lietotāju.
Ceturtdien atklājot ievainojamību, UpdraftPlus Uzrakstīja:
Šis trūkums ļauj ikvienam lietotājam, kas ir pieteicies WordPress instalācijā ar aktīvu UpdraftPlus, izmantot tiesības lejupielādēt esošu dublējumu — šī privilēģija ir jāattiecina tikai uz administratīvajiem lietotājiem. Tas bija iespējams, jo tika zaudētas atļaujas pārbaudīt kodu, kas saistīts ar pašreizējā dublējuma stāvokļa pārbaudi. Tas ļāva iegūt iekšējo identifikatoru, kas citādi nebija zināms, ko pēc tam varētu izmantot lejupielādes atļaujas apstiprināšanai.
Tas nozīmē, ka, ja jūsu WordPress vietne ļauj neuzticamiem lietotājiem pieteikties pakalpojumā WordPress un ja jums ir kāds dublējums, jūs, visticamāk, būsiet neaizsargāts pret tehniski gudru lietotāju, kurš izdomās, kā lejupielādēt jūsu pašreizējo dublējumu. Ietekmētajās vietnēs pastāv datu zuduma/datu zādzības risks, ja uzbrucējs piekļūst jūsu vietnes dublējuma kopijai, ja jūsu vietnē ir kaut kas, kas nav publisks. Es saku “tehniski prasmīgs”, jo tajā brīdī nav sniegti vispārēji pierādījumi par to, kā izmantot šo izmantošanu. Pašlaik jūs paļaujaties uz hakeri, kurš veic izmaiņas jaunākajā UpdraftPlus versijā, lai atrisinātu šo problēmu. Tomēr jums noteikti nevajadzētu paļauties uz šo laikietilpīgo lietu, bet nekavējoties atjaunināt. Ja esat vienīgais lietotājs savā WordPress vietnē vai visi lietotāji ir uzticami, jūs neesat pakļauts riskam, taču mēs joprojām iesakām veikt atjaunināšanu jebkurā gadījumā.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25404717/delta_app_store.png)
/cdn.vox-cdn.com/uploads/chorus_asset/file/25407815/Screen_Shot_2024_04_18_at_4.13.30_PM.png)
