Команда безопасности Sucuri недавно сообщила о критической уязвимости , обнаруженной в плагине WordPress Slider Revolution. С тех пор ошибка была исправлена, но команда разработчиков Slider Revolution хранила молчание об этом и не уведомляла своих пользователей о важности обновления.
Популярный коммерческий плагин для слайдера размещен на Codecanyon, ответвлении от EnvatoMarket . Слайдер включен в тематические пакеты, такие как Avada , самая продаваемая тема Themeforest. Он также поставляется с другими популярными темами , такими как X Theme , uDesign и Jupiter , а также используется независимо на тысячах веб-сайтов.
Подробная информация об уязвимости
Это неприятная уязвимость в системе безопасности, благодаря которой практически любой может легко получить доступ к учетным данным вашей базы данных и всему остальному. Он позволяет удаленному злоумышленнику загрузить любой файл с сервера, включая файл wp-config.php , который дает хакеру полный доступ к вашему сайту. Сукури поделился примером того, как можно легко получить доступ к файлу wp-config сайта, используя уязвимость:
http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
«Этот тип уязвимости известен как атака с включением локальных файлов (LFI)», — пояснил Сукури. «Злоумышленник может получить доступ, просмотреть и загрузить локальный файл на сервере».
Уязвимость Slider Revolution была впервые обнаружена на подпольных форумах, прежде чем автор плагина решил незаметно исправить ее. Группа бангладешских хакеров опубликовала на Youtube видео , в котором подробно рассказывается, как использовать уязвимые сайты.
В информационном бюллетене об угрозе безопасности говорится, что уязвимость активно используется в реальных условиях. Уязвимость подвергает малые, средние и крупные государственные и коммерческие структуры высокому риску.
Sucuri проанализировала журналы доступа WAF и подтвердила, что только сегодня «было 64 различных IP-адреса, пытающихся вызвать эту уязвимость на более чем 1000 различных веб-сайтов в нашей среде».
Пользователям посоветовали немедленно обновить Slider Revolution
Если вы используете плагин Slider Revolution на своем сайте, вам необходимо немедленно обновить его, чтобы не стать жертвой этой критической уязвимости. Вы также должны сканировать свои файлы и базу данных на наличие признаков взлома и принять меры по обеспечению безопасности для предотвращения атак в будущем.
Хотя проблема была исправлена в версии 4.2 плагина, выпущенной 25 февраля, в журнале изменений просто упоминалось «исправление безопасности». С тех пор пользователи оставляли комментарии на странице продукта Codecanyon, выражая возмущение тем, что они не получили дальнейшего уведомления:
Вы должны были сообщить нам об обновлении немедленно. Я подписан на уведомления об обновлениях, но узнал об этом только через блог Sucuri.
Команда ThemePunch , создателей плагина, якобы связалась с несколькими компаниями по обеспечению безопасности за советом по этому вопросу.
«Мы срочно обсудили эту проблему безопасности с ведущими охранными компаниями, и нам настоятельно посоветовали установить тихое обновление», — ответил представитель ThemePunch. Они также упомянули систему автоматического обновления, на которую пользователи могут подписаться, чтобы получать уведомления в будущем.
«У нас есть система обновлений для автоматических обновлений, в которой вы можете зарегистрироваться после покупки предмета, которая информирует вас о новых обновлениях».
Риск использования бесплатных или коммерческих расширений без уведомлений об обновлениях
Если вы используете коммерческий плагин или тему, которая не имеет системы автоматического обновления или полагается на электронную почту, чтобы уведомлять вас об обновлениях, вам нужно очень активно следить за тем, чтобы быть в курсе. Критическая уязвимость безопасности, такая как та, о которой сообщалось в Slider Revolution, может легко вывести из строя ваш сайт(ы), если вы пренебрежете обновлениями. Авторы тем не всегда обновляют свои встроенные плагины, и их пользователи не могут воспользоваться преимуществами системы автоматического обновления, предоставляемой автором плагинов.
Эта конкретная угроза безопасности не подвергла бы опасности так много сайтов, если бы плагин Slider Revolution не был включен в темы. Объединение коммерческих плагинов с темами, как правило, скрывает детали того, как пользователи могут получать обновления плагинов. Даже при наличии системы уведомлений об обновлениях пользователи становятся уязвимыми из-за разработчиков, которые молча устанавливают исправления и не прилагают усилий, чтобы уведомить своих пользователей о критическом обновлении безопасности. Пользователи могут защитить себя от подобных ситуаций, отказавшись от покупки тем, которые объединяют плагины/функциональность.
