Οι παλαιότερες εκδόσεις του All in One SEO Pack plugin του WordPress περιέχουν μια ευπάθεια που επιτρέπει σε έναν εισβολέα να αποθηκεύσει κακόβουλο κώδικα στο διαχειριστικό της ιστοσελίδας που θα μπορούσε δυνητικά να τον βοηθήσει να αποκτήσει τον έλεγχό της.
Την παρούσα στιγμή, αν μπει κανείς στα Δημοφιλή στη WordPress Plugin καρτέλα, το πρώτο plugin που αναφέρεται πάνω από όλα τα άλλα είναι το All in One SEO Pack του Semper Fi Web Design.
Το plugin βοηθά τους webmasters να βελτιώσουν τα SEO (Search Engine Optimization) χαρακτηριστικά της ιστοσελίδας τους μέσω ενός εύκολου στη χρήση πάνελ με on / off ρυθμίσεις.
Μία από αυτές τις ρυθμίσεις ονομάζεται Bot Blocker και επιτρέπει στους χρήστες να αποφασίσουν τους crawlers ποιας μηχανής αναζήτησης θα εμποδίσουν ώστε να μην έχουν πρόσβαση στον ιστότοπό τους. Αυτή η ρύθμιση είναι απενεργοποιημένη (off) από προεπιλογή, οπότε δεν υπάρχει λόγος ανησυχίας για τους plugin χρήστες.
Όπου οι webmasters έχουν βάλει On (έχουν ενεργοποιήσει) αυτή τη λειτουργία, πιθανώς να γνωρίζουν ότι υπάρχει ένα log που καταγράφει όλα τα bots που έχουν απορριφθεί και τη στιγμή που επισκέπτονται τις ιστοσελίδες τους.
Σύμφωνα με τον ερευνητή ασφάλειας David Vaartjes, το plugin καταγράφει αυτές τις επισκέψεις, χωρίς να πραγματοποιεί sanitizing του κειμένου που περιλαμβάνεται στα User Agent strings και στα τμήματα των Referrer headers.
Ένας επιτιθέμενος το μόνο που έχει να κάνει είναι να αλλάξει ένα από αυτά τα δύο χαρακτηριστικά προσθέτοντας κακόβουλο κώδικα στο τέλος, για ένα bot που γνωρίζει ότι είναι αποκλεισμένο από το site.
Αυτός ο (κακόβουλος) κώδικας αποθηκεύεται στη βάση δεδομένων της WordPress ιστοσελίδας και εκτελείται αυτόματα όταν ο διαχειριστής επισκεφθεί της σελίδας καταγραφής (log page).
Η πρόσθεση JavaScript κώδικα που κλέβει τα admin cookies είναι κάτι το πολύ απλό για κάθε χαμηλής προς μέτριας εκπαίδευσης εισβολέα. Τα cookies μπορούν να χρησιμοποιηθούν για να πραγματοποιηθεί hijack κατά τη σύνδεση του διαχειριστή ή να πραγματοποιηθούν και άλλες CSRF επιθέσεις.
Οι Webmasters που χρησιμοποιούν αυτό το plugin θα πρέπει να γνωρίζουν ότι αυτό το θέμα επιδιορθώθηκε σε πιο πρόσφατη έκδοση του plugin, η οποία την παρούσα στιγμή είναι η 2.3.7. Αυτή η επίθεση δοκιμάστηκε μόνο στην έκδοση 2.3.6.1 του All in One SEO Pack, γεγονός που δεν αποκλείει οι παλαιότερες εκδόσεις να είναι και αυτές ευάλωτες. Στην περίπτωση αυτή, η ενημέρωση στην τελευταία έκδοση συνιστάται!
