Το WordPress και συγκεκριμένα τα plugins του έχουν πέσει αρκετές φορές θύματα επιθέσεων. Αυτό συνέβη και τώρα καθώς ανακαλύφθηκε μια ευπάθεια στο plugin του WordPress, Social Warfare, η εκμετάλλευση της οποίας είχε ως αποτέλεσμα να αφαιρεθεί το συγκεκριμένο πρόσθετο από το WordPress.
Το Social Warfare είναι αρκετά δημοφιλές καθώς δίνει τη δυνατότητα στους χρήστες να τοποθετούν κουμπιά κοινής χρήσης social media στα websites τους.
Στη βάση εγκατάστασης του Social Warfare υπάρχουν πάνω από 70.000 sites και πάνω από 805.000 λήψεις.
Ωστόσο, ερευνητές ανακάλυψαν ότι η τελευταία έκδοση του plugin έχει επηρεαστεί από μια cross-site scripting ευπάθεια, την οποία εκμεταλλεύονται ήδη χάκερς.
Σύμφωνα με τον Mikey Veenstra και το Wordfence η συγκεκριμένη ευπάθεια επιτρέπει την εισαγωγή κακόβουλου κώδικα JavaScript σε συνδέσμους κοινής χρήσης.
Φαίνεται πως οι επιθέσεις ξεκίνησαν μετά τη δημοσίευση της ευπάθειας από κάποιον ερευνητή ασφαλείας, του οποίου τα στοιχεία δεν είναι γνωστά.
Αυτό είχε ως αποτέλεσμα την αφαίρεση του plugin. Στη σελίδα του WordPress, στην αναζήτηση του Social Warfare εμφανίστηκε το μήνυμα: “Αυτό το plugin έκλεισε στις 21 Μαρτίου 2019 και δεν είναι πλέον διαθέσιμο για λήψη”.
Το Social Warfare ανακοίνωσε ότι γνωρίζει για την ευπάθεια και ότι εργάζεται για την αποκατάσταση του προβλήματος, με τη δημιουργία ενός patch. Πρότεινε επίσης στους χρήστες να απενεργοποιήσουν το plugin μέχρι να κυκλοφορήσει η ενημερωμένη έκδοση.
Προς το παρόν, το Wordfence δεν θα αποκαλύψει περισσότερες λεπτομέρειες για τις επιθέσεις και την ευπάθεια. Περισσότερες πληροφορίες θα υπάρξουν όταν αντιμετωπιστεί το θέμα. Πριν λίγο καιρό ένα άλλο plugin του WordPress, το Easy WP SMTP, είχε επηρεαστεί από μια ευπάθεια, την οποία εκμεταλλεύονταν χάκερς με σκοπό να έχουν τον διαχειριστικό έλεγχο των site, που επηρέαζε η ευπάθεια. Ωστόσο, διορθώθηκε μέσω patch.
“Οι επιθέσεις μέσω αυτής της ευπάθειας είναι ευρέως διαδεδομένες και οι επιτυχημένες εκμεταλλεύσεις μπορούν να δώσουν τον πλήρη έλεγχο των ευάλωτων site στους επιτιθέμενους”, ανέφερε ο Veestra.
