Уязвимость WordPress REST API активно эксплуатируется, сотни тысяч сайтов испорчены

В конце января был выпущен WordPress 4.7.2 , в котором исправлены четыре проблемы безопасности, три из которых были обнаружены на момент выпуска. К ним относятся уязвимость SQL-инъекции в WP_Query, уязвимость межсайтового скриптинга (XSS) в таблице списка сообщений и функция Press This, позволяющая пользователям без разрешения назначать термины таксономии. Четвертая и самая важная проблема, уязвимость повышения привилегий без проверки подлинности в конечной точке REST API, была исправлена ​​молча и раскрыта через неделю после выпуска .

Авторы выпуска решили отложить раскрытие информации, чтобы снизить вероятность массового использования, учитывая, что любой сайт с 4.7 или 4.7.1 находится под угрозой. Это дало пользователям время на обновление вручную и развертывание автоматических обновлений.

«Мы считаем, что прозрачность отвечает интересам общественности», — сказал руководитель группы безопасности WordPress Core Аарон Кэмпбелл. «Наша позиция заключается в том, что вопросы безопасности всегда должны раскрываться. В данном случае мы намеренно задержали раскрытие этой проблемы на одну неделю, чтобы обеспечить безопасность миллионов дополнительных сайтов WordPress».

WordPress работал с Sucuri , компанией, которая обнаружила проблему, а также с другими поставщиками WAF и хостинговыми компаниями, чтобы добавить защиту до того, как об уязвимости стало известно публично.

Уязвимость была общедоступна меньше недели и сейчас активно эксплуатируется. Тысячи сайтов WordPress были испорчены такими сообщениями, как « Hacked by NG689Skw » или «Hacked by w4l3XzY3» или подобными. Поиск информации об этих конкретных взломах возвращает в результатах тысячи других взломанных сайтов.

Основатель Sucuri и технический директор Дэниел Сид сказал, что его команда обнаружила эксплойты менее чем через 24 часа после раскрытия информации. Пока что атаки представляют собой в основном простые порчи.

«Есть несколько хороших плохих парней, обновляющих выдержку из поста сообщением: «Обновите WordPress, или вас взломают», что довольно странно», — сказал Сид. «Но в целом мы наблюдаем только простые попытки порчи с использованием модифицированных версий эксплойта, которые были опубликованы».

Несколько кампаний испортили сотни тысяч сайтов WordPress

Sucuri отслеживает несколько кампаний по порче, каждая из которых имеет разную степень успеха. Компания опубликовала обновленную информацию об активных атаках, а также об IP-адресах, с которых они исходят.

«В настоящее время мы отслеживаем четыре различные группы хакеров (дефейсмеров), которые проводят массовое сканирование и попытки использования эксплойтов в Интернете», — сказал Сид. «Мы видим, что одни и те же IP-адреса и дефейсеры поражают почти все наши приманки и сети».

Одна кампания по порче, которую отслеживает Sucuri, уже проиндексировала более 68 000 страниц в Google. После изучения форумов WordPress.org проблема, похоже, имеет гораздо больший охват, чем сеть Sucuri изначально обнаружила. Например, «Hacked by NG689Skw» возвращает примерно 200 000 проиндексированных результатов. «Hacked By SA3D HaCk3D» возвращает более 100 тысяч результатов. На веб-сайтах WordPress в Интернете существует несколько вариантов этого искажения. Не все результаты, которые имеют одну и ту же структуру кампании, гарантированно связаны с этой уязвимостью, но несколько перечисленных выше были недавними сообщениями на форуме WordPress.org от пользователей, которые не смогли вовремя обновиться до 4.7.2.

«С нашей стороны, мы наблюдаем значительный рост попыток эксплойтов, особенно для дефейса», — сказал Сид. «Но спам-оптимизация тоже медленно растет».

Сид сказал, что уязвимость позволяет злоумышленникам по умолчанию внедрять контент в сообщение или страницу, но дефейс — это простой первый шаг, наряду с SEO-спамом. Если на сайте установлен плагин, такой как Insert PHP или PHP Code Widget , уязвимость может привести к удаленному выполнению кода. Эти два плагина имеют более 300 тысяч активных установок, и есть и другие, выполняющие аналогичные функции.

«Суть проблемы в том, что люди не обновляются», — сказал Сид. «Даже с автоматическими и простыми обновлениями люди все равно не обновляют свои сайты».

Излишне говорить, что если вы не обновились до версии 4.7.2, а на вашем сайте установлена ​​версия 4.7.0 или 4.7.1, вы подвергаетесь риску внедрения контента. Для большинства сайтов, которые были испорчены, самым простым решением является обновление до последней версии WordPress и откат испорченных сообщений до версии.