En WordPress-plugin som ble kalt 'ThemeGrill Demo Importer' utsatte 200 000 nettsteder for hackere

Content Management Systems (CMS) som WordPress har fullstendig transformert prosessen med å opprette og vedlikeholde et nettsted. Akkurat nå kan det være like enkelt å bygge et nettsted som å sette opp en WordPress-installasjon og legge til noe innhold. Personene som en gang skrev hele nettsteder fra grunnen av, lager nå CMS-temaer og plugins som hjelper deg med å finpusse og tilpasse ditt helt eget nettsted med ikke mer enn noen få museklikk. Det er mye mer praktisk og, enda viktigere, ganske billigere enn det pleide å være. Det er imidlertid en avveining.

Menneskene som skriver temaer og plugins for plattformer som WordPress gjør feil nå og da, og når de gjør det, påvirker ikke feilene bare ett nettsted. En enkelt feil kan forårsake problemer for tusenvis av nettsteder, og hvis problemet er sikkerhetsrelatert, kan konsekvensene være ganske ødeleggende. En nylig oppdaget sårbarhet i ThemeGrill Demo Importer-plugin for WordPress viste oss hvor ille ting kunne være.

ThemeGrill etterlot en feil som kunne ha tillatt hackere å tørke ut hele nettsteder

ThemeGrill utvikler premium-temaer for WordPress, og den tilbyr også en plugin kalt ThemeGrill Demo Importer, som lar administratorer enkelt importere temaer og innstillinger direkte til sine nettsteder. Hvis du har et WordPress-basert nettsted, og hvis du bruker ThemeGrill Demo Importer, må du sørge for at plugin er oppdatert til den nyeste versjonen. Forskere fra WebARX oppdaget at alle inkarnasjoner av pluginen mellom ThemeGrill Demo Importer 1.3.4 og ThemeGrill Demo Importer 1.6.1 er påvirket av et kritisk sikkerhetssårbarhet som kan la hackere skape fullstendig ødeleggelse.

Problemet ligger i en funksjon som heter reset_wizard_actions, som lastes inn når pluginen oppdager et aktivt ThemeGrill-tema. Funksjonen kobles til admin_init som normalt bare kjøres i et administrasjonsmiljø. Det kan imidlertid også ringe til /wp-admin/admin-ajax.php, og forskerne oppdaget at når de samhandler med denne filen, reset_wizard_actions ikke sjekker om en bruker er autentisert.

Ved å bruke nøye utformede nyttelaster kan hackere enten utslette alt innholdet på et sårbart nettsted, eller de kan påta seg administratorrettigheter og gjøre mer eller mindre hva de vil med det.

ThemeGrill lappet pluginen

WebARX-rapporten viser at det ikke var den jevneste opplevelsen å avsløre problemet og hjelpe til med å fikse det, men vi må påpeke at vi har sett langt verre. Forskerne sendte sin første rapport 6. februar. Etter å ha mottatt svar på fem dager, prøvde de å komme i kontakt med ThemeGrill igjen. 14. februar svarte utvikleren endelig, og i løpet av to dager ble en ny versjon som adresserer problemet utgitt.

At sårbarheten blir lappet er gode nyheter, men det er bare halve historien. ThemeGrill Demo Importer 1.3.4, versjonen som introduserte feilen, ble gitt ut for en drøyt tre år siden, og hvert eneste nettsted som brukte pluginprogrammet mellom da og søndag da lappen ble utgitt, er blitt utsatt. Selv om det ikke er bevis på utnyttelse i naturen, bruker mange av de 200 000 nettstedene som har ThemeGrill Demo Importer installert på dem fortsatt sårbare versjoner av plugin-en, noe som betyr at vi snart kunne se ofre for sårbarheten.

Det er her det store problemet ligger. I følge W3Techs har WordPress mer enn 35% av alle nettsteder rundt om i verden. Det er et helt økosystem som støtter CMS, og millioner av mennesker bruker det fordi det er omtrent like enkelt å opprettholde et nettsted med det. Dessverre har erfaringen lært oss at sikkerhetsoppdateringer og oppdateringer ikke er veldig høye på mange av disse menneskers prioriteringslister. Hvis internett skal bli et tryggere sted, må dette endre seg.