Σφάλμα παρουσιάστηκε σε ένα πρόσθετο (plugin) του WordPress που φτιάχτηκε από την ThemeREX, μια εταιρεία που πωλεί εμπορικά WordPress themes. Aυτό το σφάλμα το εκμεταλλεύονται χάκερς για να πραγματοποιήσουν επιθέσεις. Ειδικότερα, οι επιθέσεις που εντοπίστηκαν από την Wordfence, μια εταιρεία που παρέχει ένα firewall για web εφαρμογές (WAF) για ιστοσελίδες WordPress, ξεκίνησαν στις 18 Φεβρουαρίου του 2020.
Oι επιθέσεις των χάκερς έχουν ως στόχο τα πρόσθετα του ThemeREX (ThemeREX Addons), ένα plugin του WordPress που είναι προ-εγκατεστημένο με όλα τα εμπορικά themes της ThemeREX. Ο ρόλος του plugin είναι να βοηθά τους αγοραστές των προϊόντων ThemeREX να δημιουργήσουν τους νέους τους ιστοτόπους και να ελέγξουν διάφορα χαρακτηριστικά γνωρίσματα. Η Wordfence εκτιμά ότι το plugin είναι εγκατεστημένο σε περισσότερους από 44.000 ιστοτόπους.
Σύμφωνα με την εταιρεία ασφάλειας toy WordPress, το plugin λειτουργεί με τη δημιουργία ενός τελικού σημείου του WordPress REST-API, χωρίς ωστόσο να ελέγχει αν οι εντολές που αποστέλλονται σε αυτό το API REST προέρχονται από εξουσιοδοτημένους χρήστες, δηλαδή από τον ιδιοκτήτη του ιστοτόπου.
Αυτό, σύμφωνα με την αναλύτρια απειλών της Wordfence, Chloe Chamberland, σημαίνει ότι ο απομακρυσμένος κώδικας μπορεί να εκτελεστεί από οποιονδήποτε επισκέπτη, ακόμα και από κάποιον που δεν είναι πιστοποιημένος στον ιστότοπο. Παράλληλα, η Chloe Chamberland τόνισε πως το πιο ανησυχητικό είναι το γεγονός ότι οι χάκερς αποκτούν τη δυνατότητα δημιουργίας ενός νέου διαχειριστή-χρήστη, ο οποίος μπορεί να χρησιμοποιηθεί για τo takeover του ιστοτόπου. Έτσι, η εταιρεία παροτρύνει τους χρήστες να καταργήσουν προσωρινά τα ThemeREX Addons εάν εκτελείται έκδοση καλύτερη από την 1.6.50 έως ότου κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα.
Ωστόσο δεν εντοπίστηκαν επιθέσεις μόνο σε ιστοτόπους που χρησιμοποιούν ThemeREX Addons. Συγκεκριμένα, σημειώθηκαν και άλλες επιθέσεις σε ιστοσελίδες WordPress που είχαν ως στόχο ιστοσελίδες που εκτελούν το ThemeGrill Demo Importer, ένα plugin που συνοδεύεται από themes που πωλούνται από το ThemeGrill, έναν άλλο δημιουργό themes του WordPress. Αυτές οι επιθέσεις ήταν καταστροφικές, καθώς οι χάκερς εκμεταλλεύτηκαν ένα σφάλμα στο plugin του ThemeGrill για να σβήσουν τις βάσεις δεδομένων και να επαναφέρουν τους ιστοτόπους WordPress στις προεπιλεγμένες ρυθμίσεις τους.
Περισσότεροι από 200.000 ιστότοποι WordPress υπολογίζεται ότι εκτελούν αυτό το plugin του ThemeGrill. Επιπλέον, οι χάκερς θα μπορούσαν να αναλάβουν ευπαθείς ιστοτόπους με κλέβοντας τον λογαριασμό του διαχειριστή τους. Αυτές είναι οι λεγόμενες επιθέσεις “1 ημέρας”, ένας όρος που χρησιμοποιείται για επιθέσεις που λαμβάνουν χώρα αμέσως μετά την προσθήκη μιας ενημερωμένης έκδοσης για ένα σφάλμα. Οι χρήστες του ThemeGrill μπορούν να μετριάσουν τις επιθέσεις με την ενημέρωση του ευάλωτου plugin.
Τέλος, οι επιθέσεις στο ThemeREX είναι οι λεγόμενες επιθέσεις “μηδενικής ημέρας” καθώς εκμεταλλεύονται ένα αδρανές σφάλμα για το οποίο δεν υπάρχει κανένα patch. To μόνο που μπορεί να γίνει είναι να απενεργοποιηθεί αυτό το plugin μέχρι να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα.
