En WordPress-plugin kallad "ThemeGrill Demo Importer" exponerade 200 000 webbplatser för hackare

WordPress ThemeGrill Plugin Vulnerability

Content Management Systems (CMS) som WordPress har förändrat processen för att skapa och underhålla en webbplats helt. Just nu kan det vara lika enkelt att bygga en webbplats som att installera en WordPress-installation och lägga till lite innehåll. De människor som en gång skrev hela webbplatser från grunden skapar nu CMS-teman och plugins som hjälper dig att justera och anpassa din helt egen webbplats med inte mer än några musklick. Det är mycket bekvämare och, ännu viktigare, ganska billigare än tidigare. Men det är en avvägning.

De människor som skriver teman och plugins för plattformar som WordPress gör misstag då och då, och när de gör det påverkar inte felen bara en webbplats. Ett enda fel kan orsaka problem för tusentals webbplatser, och om problemet är säkerhetsrelaterat kan konsekvenserna vara ganska förödande. En nyligen upptäckt sårbarhet i ThemeGrill Demo Importer-plugin för WordPress visade oss hur dåliga saker kan vara.

ThemeGrill lämnade ett fel som kunde ha gjort det möjligt för hackare att torka hela webbplatser

ThemeGrill utvecklar premiumtema för WordPress, och det erbjuder också ett plugin som heter ThemeGrill Demo Importer, som låter administratörer enkelt importera teman och inställningar direkt till sina webbplatser. Om du har en WordPress-baserad webbplats och om du använder ThemeGrill Demo Importer måste du se till att plugin är uppdaterad till den senaste versionen. Forskare från WebARX upptäckte att alla inkarnationer av plugin mellan ThemeGrill Demo Importer 1.3.4 och ThemeGrill Demo Importer 1.6.1 påverkas av en kritisk säkerhetssårbarhet som kan låta hackare orsaka fullständigt förödelse.

Problemet ligger i en funktion som heter reset_wizard_actions, som laddas när plugin upptäcker ett aktivt ThemeGrill-tema. Funktionen ansluter till admin_init som normalt bara körs i en adminmiljö. Det kan dock också ringa till /wp-admin/admin-ajax.php, och forskarna upptäckte att reset_wizard_actions när de interagerar med den här filen inte kontrollerar om en användare är autentiserad.

Med hjälp av noggrant utformade nyttolaster kan hackare antingen utplåna allt innehåll på en sårbar webbplats, eller de kan anta administrativa rättigheter och göra mer eller mindre vad de vill med det.

ThemeGrill lappade plugin-programmet

WebARX-rapport visar att avslöja problemet och hjälpa till med fixen inte var den smidigaste upplevelsen, men vi bör påpeka att vi har sett mycket värre. Forskarna skickade sin första rapport den 6 februari. Efter att de inte fått några svar på fem dagar försökte de komma i kontakt med ThemeGrill igen. Den 14 februari svarade utvecklaren äntligen och inom två dagar släpptes en ny version som hanterar problemet.

Att sårbarheten korrigeras är goda nyheter, men det är bara halva historien. ThemeGrill Demo Importer 1.3.4, versionen som introducerade felet, släpptes en jättestor för tre år sedan, och varje webbplats som använde plugin mellan då och söndag när korrigeringen släpptes har blivit utsatt. Även om det inte finns några bevis på naturen exploatering, använder många av de 200 tusen webbplatserna som har ThemeGrill Demo Importer installerat på dem fortfarande sårbara versioner av plugin, vilket innebär att vi snart kunde se offer för sårbarheten.

Det är där det stora problemet ligger. Enligt W3Techs driver WordPress mer än 35% av alla webbplatser runt om i världen. Det finns ett helt ekosystem som stöder CMS, och miljontals människor använder det eftersom det är ungefär lika enkelt att underhålla en webbplats med den. Tyvärr har erfarenheten lärt oss att säkerhetsuppdateringar och korrigeringar inte är så höga på många av dessa människors prioriteringslistor. Om internet ska bli en säkrare plats måste detta förändras.

February 18, 2020

Lämna ett svar