Команда безпеки WordPress пішла на екстрені заходи і скористалася маловідомою внутрішньою функцією для примусового оновлення популярного плагіна.
Так, сайти з плагіном Loginizer примусово отримали оновлену версію 1.6.4, яка має виправлення для шести уразливостей, що дозволяють здійснити SQL-ін’єкцію і захопити управління сайтом.
Плагін забезпечує посилення безпеки сторінок авторизації на WordPress-сайтах. Згідно з офіційним описом, Loginizer здатний блокувати доступ до веб-сторінок авторизації IP-адресами з чорних списків, додавати підтримку двофакторної аутентифікації, додавати CAPTCHA тощо. В цей час Loginizer є одним з найпопулярніших WordPress-плагінів – він встановлений на понад 1 млн. сайтів.
Нещодавно дослідник безпеки Slavco Mihajloski виявив в плагіні небезпечні уразливості. Проблема пов’язана з реалізованому в Loginizer механізмі захисту від брутфорс-атак, активованому за замовчуванням. Для того щоб її проексплуатувати, зловмисник може спробувати авторизуватися на WordPress-сайті за допомогою шкідливого імені користувача, що включає інструкції SQL. Коли процес авторизації зривається, Loginizer записує спробу авторизації в базу даних сайту разом із ім’ям користувача.
Плагін належним чином не перевіряє ім’я користувача і залишає інструкції SQL недоторканими, дозволяючи віддаленому атакуючому запускати код для атаки на базу даних WordPress (здійснювати SQL-ін’єкції).
Михайловим представив опис атаки і простий PoC-скрипт.
Уразливість є однією з найсерйозніших у плагінах WordPress за останні кілька років, в зв’язку з чим команда безпеки WordPress пішла на крайні заходи і примусово встановила оновлення.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?
Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради
Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ
Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ
Чим Вам загрожує підключення невідомих USB? Поради із захисту
Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ
Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.
До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.
Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.
Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.
Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.