Дві критичні вразливості у Wordpress: проблеми з відомими плагінами

Стаття також доступна російською (перейти до перегляду).

Експерти з безпеки WordPress виявили, що деякі популярні плагіни для цієї CMS значно підвищують вразливість сайтів. Мова йде про Jupiter, а також Tatsu Builder.

Чим небезпечні плагіни Jupiter?

Jupiter — популярний і потужний конструктор тем для сайтів на CMS WordPress. Його використовують понад 90 тисяч блогів, онлайн ЗМІ та інших високотрафікових сайтів. Уразливість, яку знайшли в Jupiter — це CVE-2022-1654. Вона отримала оцінку CVSS 9,9 (критичний рівень). Це означає, що будь-який автентифікований на сайті користувач при роботі з плагіном може отримати адміністративні привілеї.

Так, за допомогою вразливості зловмисник отримує можливість виконувати будь-які дії на сайті без обмежень. В тому числі — змінювати контент на сторінках, повністю видаляти зміст, встановлювати шкідливі скрипти.

Зловмиснику достатньо замаскуватися під передплатника або клієнта сайту. Тож якось попередити або обмежити атаку неможливо. 

Спеціалісти з безпеки виявили корінь проблеми — це функція, яка називається «uninstallTemplate». Саме вона підвищує привілеї користувача до рівня адміністратора. Достатньо лише увійти до системи, надіслати запит AJAX з параметром дії для виклику і отримати статус адміністратора без будь-яких перевірок.

Про проблему стало відомо 5 квітня 2022 року. Зазначається, що служба безпеки WordPress одразу ж повідомила про це розробників плагіна. Вже 28 квітня останні частково виправили помилку, випустивши оновлення для проблемних плагінів. І вже 10 травня вийшло чергове оновлення, в якому вразливість повністю нейтралізована.

Отже, CVE-2022-1654 небезпечний для Jupiter Theme версії 6.10.1 і старіших, JupiterX Theme версії 2.0.6 і старіших, JupiterX Core Plugin версії 2.0.7 і старіших. Єдиний спосіб розв'язати проблеми з безпекою — якнайшвидше оновити плагін до останньої доступної версії або деактивувати плагін і замінити тему свого сайту.

Чим небезпечний плагін Tatsu Builder?

Цей програмний продукт використовують більш ніж на 100 тис. сайтів. Плагін пропонує набір потужних, інтегрованих безпосередньо у браузер інструментів для редагування шаблонів.

Помічена вразливість CVE-2021-25094 дає можливість зловмиснику виконувати довільний код на серверах. Це стосується плагінів, старіших за версію 3.3.12. Публічно про проблему повідомили 28 березня 2022 року. Розробник вже 7 квітня випустив оновлення 3.3.13 і закликав всіх користувачів якомога раніше його встановити.

Та за оцінками експертів з безпеки, приблизно 50% власників сайтів досі користуються ураженою версією плагіна. При цьому перші масовані атаки на проєкти почалися 10 травня 2022 року, а максимальну активність зловмисників зафіксували через чотири дні.

Відомо, що 14 травня розробнику плагіна вдалося зупинити 5,9 млн атак на своїх клієнтів. Через декілька днів кількість спроб діяльності зловмисників знизилася, проте хакери ще й досі користуються вразливістю старих версій плагіну.

Атака відбувається наступним чином: зловмисники намагаються інсталювати дроппер під назвою .sp3ctra_XO.php і MD5-хэшем 3708363c5b7bf582f8477b1c82c8cbf8 до підпапки каталогу «wp-content/uploads/typehub/custom/» та зробити його прихованим файлом.

Цікаво, що більше мільйона атак відбувалося з трьох IP-адрес: 148.251.183[.]254, 176.9.117[.]218 та 217.160.145[.]62. Експерти з безпеки радять користувачам плагіна додати ці адреси до чорного списку та обов’язково оновити продукт до версії 3.3.13.

FREEhost.UA пропонує 8 тарифних планів wordpress – хостингу. Автоматична установка CMS, оптимізація продуктивності, контроль за доступом до закритої частини сайту, WAF файрвол та багато іншого для ефективної роботи. Спробуйте 7 днів безкоштовно.