Δύο από τα επίσημα WordPress plugins του Facebook, επηρεάζονται από δύο zero-day ευπάθειες, τις οποίες αποκάλυψε μία Αμερικανική εταιρείας ασφάλειας στον κυβερνοχώρο.
Η εταιρεία παρουσίασε επίσης κώδικα proof-of-concept (PoC), που αποκαλύπτει πως οι hackers μπορούν να εκμεταλλευτούν αυτές τις ευπάθειες για να πραγματοποιήσουν επιθέσεις σε sites.
Τα δύο επηρεαζόμενα plugins είναι τo “Messenger Costumer Chat”, που εμφανίζει ένα προσαρμοσμένο παράθυρο συνομιλίας του Messenger σε ιστότοπους WordPress και το “Facebook for WooCommerce”, που επιτρέπει στους ιδιοκτήτες ιστότοπων WordPress να ανεβάσουν τα καταστήματα που βασίζονται στο WooCommerce στις Σελίδες τους στο Facebook.
Στα μέσα Απριλίου το WordPress αποφάσισε να κυκλοφορήσει το plugin Facebook for WooCommerce ως μέρος του επίσημου plugin για το online κατάστημα WooCommerce. Από τότε, το plugin έχει συγκεντρώσει μια συνολική βαθμολογία 1,5 αστεριών, με τη συντριπτική πλειοψηφία των χρηστών να διαμαρτύρονται για λάθη και ελλιπείς ενημερώσεις.
Ωστόσο τώρα η ασφάλεια όλων των χρηστών που εγκατέστησαν αυτές τις επεκτάσεις τίθεται σε κίνδυνο εξαιτίας μιας κόντρας μεταξύ μιας εταιρείας με έδρα το Ντένβερ που ονομάζεται White Fir Design LLC (δραστηριοποιείται ως Plugin Vulnerabilities) και του WordPress.
Η ομάδα Plugin Vulnerabilities αποφάσισε ότι δεν θα ακολουθήσει την αλλαγή πολιτικής στα φόρουμ WordPress.org, η οποία απαγόρευε στους χρήστες να αποκαλύπτουν σφάλματα ασφαλείας μέσω των φόρουμ και ζητούσε από τους ερευνητές ασφάλειας να τα στέλνουν ηλεκτρονικά στην ομάδα WordPress, ώστε να επικοινωνήσει η ίδια με όσους χρησιμοποιούσαν τα plugins.
Η ομάδα Plugin Vulnerabilities όμως συνέχισε να αποκαλύπτει αδυναμίες στην ασφάλεια στα φόρουμ του WordPress και σαν αποτέλεσμα οι λογαριασμοί της στο φόρουμ μπλοκαρίστηκαν.
Η κόντρα τους κλιμακωνόταν με το πέρασμα του χρόνου και την περασμένη άνοιξη η ομάδα άρχισε να δημοσιεύει επίσης blog posts στον ιστότοπό της με λεπτομέρειες και κώδικες PoC σχετικά με τις ευπάθειες που ανακάλυψε σε plugins του WordPress.
Οι hackers φυσικά δεν έχασαν την ευκαιρία και χρησιμοποιώντας τις πληροφορίες που αναρτούσε η Plugin Vulnerabilities άρχισαν να δημιουργούν κακόβουλες καμπάνιες μερικές από τις οποίες κατάφεραν να επηρεάσουν μεγάλα sites.
Τα δύο ελαττώματα που εντοπίστηκαν στα plugins του Facebook, επιτρέπουν στους πιστοποιημένους χρήστες να τροποποιούν τις επιλογές ιστότοπου του WordPress. Οι ευπάθειες δεν είναι τόσο επικίνδυνες όσο αυτές που αποκαλύφθηκαν νωρίτερα αυτό το έτος, ωστόσο θα μπορούσαν να επιτρέψουν σε έναν επιτιθέμενο να πάρει τον έλεγχο ενός ιστοτόπου.
