Wordpress Sebezhetőség

Több százezer WordPress oldalt térítettek el egy a népszerű pluginnal

2022.09.13.

Először is mi az, hogy „URL eltérítés”?

Az URL eltérítés az a folyamat, amelynek során egy URL-t hibásan eltávolítanak a keresőmotorok indexéből, és egy másik URL-lel helyettesítik. Az új, hamis URL továbbra is a tényleges céloldalra mutat, de már nem közvetlenül, hanem átirányítás beiktatásával. A hamis URL az eredeti oldal rangsorolását is átveszi, ezzel látogatók nagymértékű csökkenéséhez vezethet.

De valójában mi történt?

A szakemberek szerint egy WordPress prémium pluginban találtak “Zero-day” sebezhetőséget mely aktív kihasználásra került, ezért kérik a felhasználókat, hogy távolítsák el a weboldalaikról a javítás kiadásáig.

Mi az a „Zero-day” sebezhetőség?

A Zero-day (nulladik napi) sebezhetőség olyan hiba egy szoftverben, amely az alkalmazás(ok)ért felelős programozó(k) vagy gyártó(k) számára ismeretlen. Mivel a sebezhetőség nem ismert, nem áll rendelkezésre javítócsomag.

A WordPress biztonsági bővítményeket gyártó WordFence felfedezett egy hibát a WPGatewayben, egy prémium pluginnál, amely segít az adminoknak más WordPress bővítmények és témák kezelésében egyetlen vezérlőpultról.

A szakemberek szerint a hibát CVE-2022-3180 néven jegyzik, és 9,8-as súlyossági pontszámot visel. Lehetővé teszi a fenyegetést okozók számára, hogy admin felhasználót hozzanak létre a platformon, ami azt jelenti, hogy ha úgy tetszik, képesek lennének átvenni az egész weboldal irányítását.

A Wordfence hozzátette, hogy csak az elmúlt hónapban több mint 4,6 millió támadást blokkoltak sikeresen, több mint 280 000 webhely ellen. Ez azt is jelenti, hogy a megtámadott (és esetleg kompromittált) webhelyek száma akár milliós is lehet.

A szakemberek szerint a hibára még nem áll rendelkezésre javítócsomag, és nincs megoldási lehetőség. Az egyetlen módja a biztonság megőrzésének egyelőre az, hogy teljesen el kell távolítani a bővítményt a weboldalról, és meg kell várni a javítás megérkezését.

A kompromittálódás jeleit kereső webmestereknek érdemes ellenőrizniük, hogy a “rangex” nevű admin-fiókok nem szerepelnek-e a webhelyeiken. Továbbá a hozzáférési naplókban a “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” kéréseket kell keresniük, mivel ez a betörési kísérlet jele. Ez a jel azonban nem feltétlenül jelenti azt, hogy sikeres volt.
Egyéb részletek egyelőre szűkszavúak, tekintettel arra, hogy a hibát aktívan kihasználják, és a javítás még nem áll rendelkezésre.

A WordPress a világ legnépszerűbb weboldal-építője, és mint ilyen, folyamatos támadásoknak van kitéve. Míg maga a platform általában biztonságosnak tekinthető, a bővítményei -amelyekből több százezer van – gyakran a gyenge láncszemek, amelyek veszélybe sodorják a rendszereket.

Cikkünk nem számít szakmai állásfoglalásnak. Részletes tájékoztatásért lépjen kapcsolatba velünk, úgy személyre szabott, és a konkrét felhasználási igényeknek megfelelő tanácsokat tudunk adni, a megfelelő szakmai megoldást tudjuk kínálni.