O vulnerabilite desoperita intr-un plugin de WordPress, permite atacatorilor sa stearga toate informatiile din bazele de date ale site-urilor cu o mare probabilitate de a prelua controlul asupra lacestor site-uri. Hackerii exploateaza in mod activ o vulnerabilitate critica a pluginului de WordPress care le permite sa stearga complet baza de date a site-urilor vizate in unele cazuri, sa preia controlul complet asupra site-urilor afectate.

Vulnerabilitatea este raportata in ThemeGrill Demo Importer, instalat pe aproximativ 100.000 de site-uri si a fost descoperita acum 2 saptamani de compania online de securitate WebARX. Dupa cateva zile compania a raportat ca exploatarea activa a site-urilor afectate a ajuns la un numar de 17.000 (atacuri blocate pe site-uri).

 

Cum se manifesta si rezolvarea

Mesajul „Hello World” este textul implicit (default) afisat pe site-urile WordPress atunci cand sistemul de gestionare a continutului, open source, este instalat pentru prima data sau cand este sters. Atacatorii par sa exploateze vulnerabilitatea ThemeGrill in speranta de a obtine controlul administrativ asupra site-urilor web afectate. Preluarea controlului asupra site-urilor web apar numai atunci cand un site vulnerabil are un cont cu numele “admin”. In aceste cazuri, dupa ce hackerii exploateaza vulnerabilitatea si sterg toate datele, ei sunt conectati automat ca un utilizator care are drepturi administrative.

Deoarece atacatorul nu stie daca in instalarea respectiva de WordPress, exista un utilizator “admin” cel mai probabil va lasa in urma o sumedenie de site-uri devastate.

Importatorul Demo ThemeGrill este utilizat pentru a importa automat si alte plugin-uri disponibile pe pagina web a dezvoltatorului. Statisticile anterioare de la WordPress aratau initial ca pluginul importator a fost folosit in peste 200.000 de platforme. Recent, numarul a scazut la 100.000, cel mai probabil deoarece multi titulari de site-uri web au optat pentru dezinstalarea acestuia.

Conform celor de la WebARX, vulnerabilitatea este activa de aproximativ trei ani in versiunile de la 1.3.4 la 1.6.1. Patch-ul care acopera vulnerabilitatea este disponibil de la versiunea 1.6.2, desi o versiune si mai noua (1.6.3) a devenit disponibila pentru update recent.

Vulnerabilitatea privine de la o incercare voita de autentificare gresita a unui utilizator inainte de a le permite sa efectueze comenzi administrative privilegiate. Hackerii pot abuza de acest esec de autentificare trimitand solicitari web care contin siruri de text special concepute. Deoarece sarcina exploatata nu are aspect suspect, este de asteptat ca niciun firewall sa nu blocheze acest lucru in mod implicit si astfel trebuie creata o regula speciala pentru a bloca vulnerabilitatea.

Mai exact, vulnerabilitatea permite atacatorilor sa stearga, dupa cum spuneam anterior, toate tabelele si sa populeze baza de date cu setari si date implicite. Conturile numite „admin” daca acestea exista, sunt setate cu o parola implicita (default) sau una cunoscuta de hacker. In cazul in care exista aceste conturi admin, atacatorul va fi conectat cu drepturi depline.

 

Recomandari

Expertii in securitate de la WebARX au descoperit vulnerabilitatea si au raportat-o dezvoltatorilor ThemeGrill pe data de 06.02.2020 insa acestia nu au dezvoltat si lansat patch-ul care acopera vulnerabilitatea decat abia in data de 16.02.2020. Recomandarea noastra este sa updatati de urgenta plugin-ul ThemeGrill Demo Importer sau sa nu se mai foloseasca deloc acest plugi si sa se dezinstaleze complet. De altfel recomandam ca toate update-urile plugin-urilor, temelor sau in general a tuturor complonentelor software sa se efectueze de indata ce acestea sunt disponibile, pentru a nu le oferi timp atacatorilor sa actioneze.