Először is mi az, hogy „URL eltérítés”?
Az URL eltérítés az a folyamat, amelynek során egy URL-t hibásan eltávolítanak a keresőmotorok indexéből, és egy másik URL-lel helyettesítik. Az új, hamis URL továbbra is a tényleges céloldalra mutat, de már nem közvetlenül, hanem átirányítás beiktatásával. A hamis URL az eredeti oldal rangsorolását is átveszi, ezzel látogatók nagymértékű csökkenéséhez vezethet.
De valójában mi történt?
A szakemberek szerint egy WordPress prémium pluginban találtak „Zero-day” sebezhetőséget mely aktív kihasználásra került, ezért kérik a felhasználókat, hogy távolítsák el a weboldalaikról a javítás kiadásáig.
Mi az a „Zero-day” sebezhetőség?
A Zero-day (nulladik napi) sebezhetőség olyan hiba egy szoftverben, amely az alkalmazás(ok)ért felelős programozó(k) vagy gyártó(k) számára ismeretlen. Mivel a sebezhetőség nem ismert, nem áll rendelkezésre javítócsomag.
A WordPress biztonsági bővítményeket gyártó WordFence felfedezett egy hibát a WPGatewayben, egy prémium pluginnál, amely segít az adminoknak más WordPress bővítmények és témák kezelésében egyetlen vezérlőpultról.
A szakemberek szerint a hibát CVE-2022-3180 néven jegyzik, és 9,8-as súlyossági pontszámot visel. Lehetővé teszi a fenyegetést okozók számára, hogy admin felhasználót hozzanak létre a platformon, ami azt jelenti, hogy ha úgy tetszik, képesek lennének átvenni az egész weboldal irányítását.
A Wordfence hozzátette, hogy csak az elmúlt hónapban több mint 4,6 millió támadást blokkoltak sikeresen, több mint 280 000 webhely ellen. Ez azt is jelenti, hogy a megtámadott (és esetleg kompromittált) webhelyek száma akár milliós is lehet.
A szakemberek szerint a hibára még nem áll rendelkezésre javítócsomag, és nincs megoldási lehetőség. Az egyetlen módja a biztonság megőrzésének egyelőre az, hogy teljesen el kell távolítani a bővítményt a weboldalról, és meg kell várni a javítás megérkezését.
A kompromittálódás jeleit kereső webmestereknek érdemes ellenőrizniük, hogy a „rangex” nevű admin-fiókok nem szerepelnek-e a webhelyeiken. Továbbá a hozzáférési naplókban a „//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” kéréseket kell keresniük, mivel ez a betörési kísérlet jele. Ez a jel azonban nem feltétlenül jelenti azt, hogy sikeres volt.
Egyéb részletek egyelőre szűkszavúak, tekintettel arra, hogy a hibát aktívan kihasználják, és a javítás még nem áll rendelkezésre.
A WordPress a világ legnépszerűbb weboldal-építője, és mint ilyen, folyamatos támadásoknak van kitéve. Míg maga a platform általában biztonságosnak tekinthető, a bővítményei -amelyekből több százezer van – gyakran a gyenge láncszemek, amelyek veszélybe sodorják a rendszereket.