Neopravená chyba ve WordPress pluginu ohrožuje tisíce webů

6. 6. 2016

Sdílet

 Autor: Fotolia © beornbjorn
Vada v zásuvném modulu Mobile Detector v oblíbeném systému pro správu obsahu umožnil hackerům nahrát škodlivá data na servery.

Během posledního týdne se útočníkům podařilo zneužít chybu, která se objevila v oblíbeném WP Mobile Detector pluginu, instalovaném na více než 10 tisíc webových stránkách.

Vývojář zásuvného modulu chybu opravil již v úterý ve verzi 3.6; uživatelé by se tak měli ujistit nejen, že mají nejnovější verzi pluginu, ale také, zda nejsou jejich stránky již napadeny.

Zneužití je možné díky skriptu zvaném resize.php a umožňuje vzdáleným útočníkům nahrávat soubory na webový server. Mezi takové soubory mohou patřit např. backdoor shell skripty, které hackerům poskytnou zadní vrátka přístupu na server a umožní jim vkládat části kódu na webové stránky.

Chybu objevil bezpečnostní systém Wordpressu PluginVulnerabilities.com poté, co sledoval requesty na soubor wp-content/plugins/wp-mobile-detector/resize.php, ačkoli ten na serveru neexistoval. To znamená, že někdo používal automatický sken, aby vyhledal tento konkrétní soubor, což obvykle bývá právě z důvodu možné zneužitelné chyby.

Výzkumníci z bezpečnostní agentury Sucuri, specializované na webové zabezpečení, analyzovali logy z firewallu společnosti a nalezli několik pokusů o zneužití chyby, začínaje 27. květnem; tedy čtyři dny před vydáním opravné aktualizace. Je však možné, že útočníci o vadě věděli již dříve.

WP Mobile Detector (pozor na záměnu s jiným, nenakaženým pluginem jménem WP Mobile Detect) měl na počátku května přes 10 tisíc aktivních instalací. Nyní se toto číslo smrsklo na pouhou pětinu, ale z části je to i proto, že po detekci chyby WordPress zásuvný modul na čas odstranil.

Aby útočníci mohli vadu v resize.php zneužít, musí server mít povolenu funkci allow_url_fopen. To do jisté míry limituje nebezpečnost závady.

bitcoin_skoleni

Protože není jasné, kolik webových stránek bylo nakaženo, je dobrý nápad, jste-li uživatelem dané aplikace, zkontrolovat svůj server.

„Valná většina zranitelných stránek je nyní infikována spamem skrze doorway weby, odkazujících obvykle na pornostránky,” popisuje výzkumník ze Sucuri Douglas Santos. „Standardně najdete složku gopni3g v kořenovém adresáři, která obsahuje soubor story.php (která doorwaye umožňuje), .htaccess a podsložky se spam soubory a šablonami.”