Kritinis pažeidžiamumas rastas „WordPress“ el. prekybos papildinyje, kurį naudoja daugiau nei 30 000 internetinių parduotuvių

Buvo pranešta, kad „WordPress“ papildinys „Abandoned Cart Lite for WooCommerce“, įdiegtas daugiau nei 30 000 svetainių, turi kritinį saugumo spragą. Remiantis „Defiant's Wordfence“ patarimu, pažeidžiamumas leidžia užpuolikams gauti prieigą prie vartotojų, kurie paliko savo krepšelius, paskyrų. Pažeidžiamumo, stebimo kaip CVE-2023-2986, sunkumas CVSS balų sistemoje buvo įvertintas 9,8 balo iš 10. Tai turi įtakos visoms papildinio versijoms, įskaitant 5.14.2 ir senesnes versijas.

Problema kyla dėl autentifikavimo apėjimo dėl netinkamos šifravimo apsaugos. Kai klientams pranešama apie paliktus pirkinių krepšelius elektroninės prekybos svetainėse, naudojamas šifravimo raktas yra užkoduotas papildinyje. Tai leidžia piktybiniams veikėjams prisijungti kaip vartotojui su paliktu krepšeliu. Saugumo tyrinėtojas Istvánas Mártonas paminėjo, kad yra galimybė išnaudoti autentifikavimo apėjimo pažeidžiamumą, norint gauti prieigą prie administracinio ar aukštesnio lygio vartotojo abonemento.

Pažeidžiamumas užtaisytas birželio pradžioje

Papildinio kūrėjas Tyche Softwares 2023 m. birželio 6 d. pašalino pažeidžiamumą naudodamas 5.15.0 versiją, o dabartinė versija yra 5.15.2. Šio pažeidžiamumo atskleidimas sutampa su Wordfence atskleidimu apie kitą autentifikavimo apėjimo trūkumą „StylemixThemes“ papildinyje „Užsakymų kalendorius | Susitikimų rezervavimas | BookIt“. Šis trūkumas, stebimas kaip CVE-2023-2834, kurio CVSS balas yra 9,8, turi įtakos daugiau nei 10 000 „WordPress“ diegimų. Jis atsiranda dėl nepakankamo patvirtinimo per rezervavimo paskyrimo procesą, leidžiantį neautentifikuotiems užpuolikams prisijungti kaip bet kuriam esamam vartotojui, jei jie turi prieigą prie vartotojo el. Problema buvo išspręsta naudojant 2.3.8 versiją, išleistą 2023 m. birželio 13 d., o 2.3.7 ir senesnės versijos turi įtakos.

Kodėl įsilaužėliai dažnai nukreipiami į „WordPress“ papildinius?

Į „WordPress“ papildinius dažnai nusitaiko įsilaužėliai dėl kelių priežasčių:

Populiarumas ir platus naudojimas: „WordPress“ yra viena populiariausių turinio valdymo sistemų (TVS) visame pasaulyje, maitinanti didelę dalį interneto svetainių. Dėl plataus „WordPress“ naudojimo jis yra patrauklus įsilaužėlių taikinys. Kadangi papildiniai pagerina „WordPress“ svetainių funkcionalumą, juos plačiai naudoja svetainių savininkai. Užpuolikai žino, kad taikymasis pagal populiarius papildinius gali pakenkti daugeliui svetainių.

Pažeidžiamumas ir saugos problemos: kaip ir bet kuri programinė įranga, „WordPress“ papildiniai gali turėti pažeidžiamumų ir saugos trūkumų. Šias spragas gali išnaudoti įsilaužėliai, norėdami gauti neteisėtą prieigą, suleisti kenkėjišką kodą ar atlikti kitą kenkėjišką veiklą. Papildiniai gali turėti kodavimo klaidų, nepakankamai patikrintų arba netinkamų saugos priemonių, dėl kurių jie gali būti imlūs atakoms.

Atnaujinimų ir priežiūros trūkumas: kai kurie svetainių savininkai gali nepaisyti savo „WordPress“ papildinių atnaujinimo arba netinkamai jų prižiūrėti. Pasenę papildiniai gali turėti žinomų spragų, kurias gali išnaudoti įsilaužėliai. Be to, įskiepiai, kurių kūrėjai nebeprižiūri ar nepalaiko, gali laiku negauti saugos pataisų, todėl jie gali būti pažeidžiami atakų.

Trečiųjų šalių papildinių kūrėjai: „WordPress“ papildinius dažnai kuria trečiųjų šalių kūrėjai, kurie gali turėti įvairaus lygio saugumo patirties. Nors daugelis kūrėjų teikia pirmenybę saugumui, kiti gali neturėti reikiamų žinių ar išteklių, kad galėtų įgyvendinti patikimas saugos priemones. Įskiepiai taikosi į papildinius, kuriuos sukūrė mažiau saugai besirūpinantys kūrėjai, kad išnaudotų savo kodo trūkumus.

Užpakalinių durų įėjimas: papildiniai gali būti užpakalinių durų įėjimo taškas, kad užpuolikai galėtų pasiekti „WordPress“ svetainę. Pažeisdami papildinį, įsilaužėliai gali apeiti saugos priemones ir valdyti visą svetainę. Patekę į vidų, jie gali manipuliuoti turiniu, pavogti neskelbtiną informaciją ar vykdyti kitą kenkėjišką veiklą.

Siekiant sumažinti riziką, susijusią su „WordPress“ papildiniais, labai svarbu, kad svetainių savininkai laikytųsi geriausios praktikos, pavyzdžiui:

• Reguliariai atnaujinkite papildinius į naujausias versijas, kuriose yra saugos pataisų.
• Pasirinkite papildinius iš patikimų šaltinių ir kūrėjų, turinčių nuolatinių naujinimų ir pagalbos teikimo patirtį.
• Pašalinkite arba išjunkite nenaudojamus papildinius, kad sumažintumėte atakos paviršių.
• Naudokite patikimą saugos papildinį, kuris gali aptikti galimas grėsmes ir nuo jų apsaugoti.
• Reguliariai stebėkite svetainės saugumą ir diegkite papildomas saugumo priemones, tokias kaip tvirti slaptažodžiai ir dviejų veiksnių autentifikavimas.

Imdamiesi šių atsargumo priemonių svetainių savininkai gali sumažinti tikimybę tapti atakų, nukreiptų į „WordPress“ papildinius, aukomis.