Два плагіни WordPress, InfiniteWP Client та WP Time Capsule, страждають від однієї і тієї ж самої критичної помилки обходу авторизації, яка дозволяє зловмисникам отримувати доступ до бекенда сайту без пароля.
Дослідники з WebArx, які створили атаки (для підтвердження концепції) з використанням вразливостей, повідомили, що для входу потрібно лише знати ім’я екаунта адміністратора для плагінів WordPress. Про це пишуть на ThreatPost.
“[Обидва плагіни] містять логічні проблеми в коді, що дозволяє вам увійти в обліковий запис адміністратора без пароля”, – написав представник WebArx у публікації в блозі, в якій викладено відкриття в середу. За даними бібліотеки плагінів WordPress, 300 000 веб-сайтів працюють з версіями вразливого плагіну InfiniteWP Client. Плагін WP Time Capsule активний на 20000 веб-сайтах, згідно з бібліотекою.
Обидва плагіни розроблені, щоб дозволити користувачам аутентифікувати декілька установок WordPress з одного центрального сервера. Це дозволяє власникам сайтів “виконувати технічне обслуговування, таке як одночасне оновлення одним користувачем контенту, плагінів та тем на всіх сайтах, резервне копіювання та відновлення сайту та активація / деактивація плагінів та тем на декількох сайтах одночасно”, згідно опису WordFence.
Про вразливості вперше повідомили 7 січня 2020 року. Наступного дня розробники випустили нові версії плагінів. А 15 січня WebArx публічно оприлюднив інформацію про баги у плагінах.
Особливо до цієї помилки вразливі версії плагіна InfiniteWP Client нижче 1.9.4.5, повідомляє WebArx – для них ця помилка за загальною системою оцінювання вразливості (CVSS) становить 9,8 балів, тобто є критичною. Для атаки з підтвердженням концепції спочатку потрібне корисне навантаження, закодоване JSON, а потім Base64. Далі все це надсилається в необробленому вигляді на цільовий сайт у запиті POST.
“Проблема полягає у функції iwp_mmb_set_request, яка знаходиться у файлі init.php. Ця функція перевіряє, чи змінна request_params класу IWP_MMB_Core не порожня, яка заповнюється лише тоді, коли корисне навантаження відповідає певним умовам”, – пояснює WebArx. “У цьому випадку умова полягає в тому, що параметр iwpgery корисного навантаження повинен дорівнювати readd_site або add_site, оскільки вони є єдиними діями, які не мають перевірки авторизації. Відсутня перевірка авторизації є причиною існування цієї проблеми “, – написали дослідники.
Далі, за словами WebArx, ім’я користувача, яке надається зловмисником, буде використовуватися для входу в систему як користувач без подальшої автентифікації. Немає пароля – немає проблеми.
Що стосується WP Time Capsule, то дослідники визначили його версії нижче 1.21.16 як вразливі. На відміну від плагіну InfiniteWP Client, його корисне навантаження може бути простішим і потрібно лише містити певну рядок у тілі необробленого запиту POST, зазначили дослідники.
“Проблема розташована у рядку 12 wptc-cron-функції.php, де вона аналізує запит. Функція parse_request викликає функцію decode_server_request_wptc, яка перевіряє, чи містить сирий навантаження POST рядок “IWP_JSON_PREFIX” “, – написали дослідники. “Якщо [запит] містить цей рядок, він викликає wptc_login_as_admin (який захоплює всі доступні облікові записи адміністратора та використовує перший обліковий запис у списку), і ви ввійдете в систему як адміністратор.”
Команда WebArx також попереджає, що брандмауери можуть надавати користувачам помилкове почуття безпеки, коли мова йде про цю вразливість.
“Оскільки вразливості обходу аутентифікації часто є логічними помилками в коді і насправді не передбачають підозрілого навантаження, важко знайти та визначити, звідки ці проблеми беруться”, – сказали вони. А оскільки корисний вантаж закодований, незаконне шкідливе навантаження важко відрізнити від законного корисного навантаження. Через природу вразливості брандмауери, засновані на хмарних технологіях, не можуть відрізнити зловмисний трафік від законного, і тому можуть не забезпечити ефективний захист від цієї вразливості”, – написали вони.
Для усунення проблеми потрібно оновити версії обох програмних плагінів для WordPress (InfiniteWP Client та WP Time Capsule).
До речі, швидкий розвиток технологій сприяв тому, що тепер смартфони мають функціонал персонального комп’ютера. З їх допомогою можна спілкуватися в соцмережах, перевіряти пошту, здійснювати Інтернет-замовлення та розраховуватися онлайн. Водночас розширення функціональних можливостей призвело до зростання кількості випадків інфікування мобільних пристроїв шкідливими програмами. У цій статті Ви знайдете основні поради для захисту смартфона та конфіденційних даних на ньому.
Звернуть увагу, що дуже багато технологій, які розвиває Apple, насправді спочатку належали не їй, а якомусь дрібному стартапу. Вони просто вчасно знаходили потрібну ідею і поглинали компанію з перспективними напрацюваннями, які часто ставали новим трендом для галузі. Так було з Siri, Face ID, Animoji і багато чим ще. Але у функції ЕКГ в Apple Watch не менш цікава історія.
Читайте також: Злочинну групу, яка скуповувала клієнтські бази даних та у подальшому використовувала їх для виманювання коштів громадян методами психологіного впливу, викрила кіберполіція України.
Цікаво знати, що коли компанія-розробник програмного забезпечення Greenspector провела безліч тестів, включаючи тестування споживання мобільних даних, то перше місце дісталося не Google Chrome.
Твіттер забороняє файли анімованих зображень PNG (APNG) на своїй платформі після нападу на Twitter-екаунт Фонду Епілепсії, коли масово надсилалися анімовані зображення, які потенційно можуть спричинити напади епілепсії у світлочутливих людей.
20 тисяч серверів зламали кіберзлочинці шляхом цілеспрямованих атак на приватні оргнаізації та конкретних осіб. До складу злочинного угруповання входили троє українців та один іноземець. Усі вони були відомими учасниками хакерських форумів та здійснювали замовлення щодо зламу віддалених серверів, розташованих на території України, Європи та США.