Στις 6 Μαΐου 2020, η ομάδα του Wordfence Threat Intelligence έλαβε αναφορές για μία επίθεση που βρίσκεται σε εξέλιξη. Αυτή η επίθεση εκμεταλλεύεται ευπάθειες σε δύο plugins, το Elementor Pro και το Ultimate Addons for Elementor κι έτσι απειλεί εκατομμύρια sites. Στη συνέχεια, η ομάδα έλεγξε τα αρχεία καταγραφής των παραβιασμένων sites για να επιβεβαιώσει αυτήν τη δραστηριότητα. Καθώς πρόκειται για μία “ενεργή” επίθεση, η ομάδα προέβη στην απαραίτητη ενημέρωση των χρηστών, ώστε να μπορούν να λάβουν μέτρα για την προστασία του ιστότοπού τους, ενώ σκοπίμως δεν ανέφερε περαιτέρω λεπτομέρειες επί του θέματος, δεδομένου ότι πρόκειται για μια επίθεση που βρίσκεται σε εξέλιξη, ενώ η πιο κρίσιμη ευπάθεια δεν έχει διορθωθεί ακόμη. Παράλληλα, η ομάδα κυκλοφορήσει έναν κανόνα firewall που προστατεύει τους χρήστες του Wordfence Premium από τυχόν εκμετάλλευση αυτής της ευπάθειας. Οι δωρεάν χρήστες του Wordfence θα λάβουν προστασία για αυτή την ευπάθεια στις 5 Ιουνίου 2020.
Ποια plugins επηρεάζονται από αυτήν την επίθεση;
Δύο είναι τα plugins που επηρεάζονται από αυτήν την εκστρατεία επίθεσης. Το πρώτο plugin που ονομάζεται Elementor Pro και κατασκευάζεται από την Elementor, παρουσιάζει ευπάθεια μηδενικής ημέρας, η οποία μπορεί να εκμεταλλευτεί, σε περίπτωση που οι χρήστες έχουν ανοιχτή εγγραφή. Από χθες, 7 Μαΐου 2020, το Elementor κυκλοφόρησε την ενημερωμένη έκδοση 2.9.4 του Elementor Pro, η οποία μπορεί να διορθώσει την ευπάθεια που εντοπίστηκε. Γι’αυτό τον λόγο, συνιστάται στους χρήστες να λάβουν αυτή την ενημερωμένη έκδοση το συντομότερο δυνατόν. Το δεύτερο plugin που επηρεάζεται είναι το Ultimate Addons for Elementor, το οποίο δημιουργήθηκε από την Brainstorm Force. Συγκεκριμένα, εντοπίστηκε μία ευπάθεια σε αυτό το plugin, η οποία επιτρέπει την εκμετάλλευση της ευπάθειας που εντοπίστηκε στο Elementor Pro, ακόμη κι αν ο ιστότοπος δεν έχει ενεργοποιημένη την εγγραφή χρήστη.
Υπολογίζεται ότι το Elementor Pro είναι εγκατεστημένο σε πάνω από 1 εκατομμύριο sites και το Ultimate Addons σε 110.000 περίπου. Ωστόσο, θα πρέπει να διευκρινιστεί ότι δεν επηρεάζεται το δωρεάν Elementor plugin, το οποίο έχει περισσότερες από 4 εκατομμύρια εγκαταστάσεις διαθέσιμες από το αποθετήριο του WordPress plugin. Το Elementor Pro plugin είναι μια ξεχωριστή λήψη που διατίθεται στον ιστότοπο του Elementor.com.
Η ευπάθεια που εντοπίστηκε στο Elementor Pro, η οποία χαρακτηρίζεται ως κρίσιμη, επιτρέπει στους εγγεγραμμένους χρήστες να ανεβάζουν αυθαίρετα αρχεία που οδηγούν σε απομακρυσμένη εκτέλεση κώδικα. Πρόκειται για μία ευπάθεια μηδενικής ημέρας. Ένας εισβολέας που θα πραγματοποιήσει απομακρυσμένη εκτέλεση κώδικα σε κάποιον ιστότοπο, μπορεί να εγκαταστήσει ένα backdoor ή webshell για να διατηρήσει την πρόσβασή του, να αποκτήσει πλήρη πρόσβαση διαχειριστή στο WordPress ή ακόμη και να διαγράψει εντελώς τον ιστότοπο. Η ομάδα της Elementor εργάζεται για να κυκλοφορήσει μια ενημέρωση κώδικα.
Το Ultimate Addons for Elementor plugin διόρθωσε πρόσφατα μία ευπάθεια με την ενημερωμένη έκδοση 1.24.2, η οποία επιτρέπει στους εισβολείς να δημιουργήσουν subscriber-level users, ακόμα κι αν η εγγραφή είναι απενεργοποιημένη σε μια ιστοσελίδα WordPress.
Δύο ευπάθειες χρησιμοποιούνται για επιθέσεις σε sites
Οι εισβολείς μπορούν να εκμεταλλευτούν την ευπάθεια μηδενικής ημέρας που εντοπίστηκε στο Elementor Pro για να αποκτήσουν πρόσβαση σε sites με ανοιχτή εγγραφή χρήστη. Σε περιπτώσεις όπου ένας ιστότοπος δεν έχει ενεργοποιημένη την εγγραφή χρήστη, οι εισβολείς εκμεταλλεύονται την ευπάθεια που εντοπίστηκε στο Ultimate Addons for Elementor σε sites που δεν έχουν λάβει ενημερώσεις, για να εγγραφούν ως συνδρομητές. Στη συνέχεια, επιδιώκουν να χρησιμοποιήσουν τους λογαριασμούς που δημιουργήθηκαν πρόσφατα, για να εκμεταλλευτούν την ευπάθεια μηδενικής ημέρας του Elementor Pro και να πραγματοποιήσουν επιτυχή απομακρυσμένη εκτέλεση κώδικα.
Χρήσιμες Συμβουλές
Εάν χρησιμοποιείτε το Wordfence Premium, ο ιστότοπος έχει λάβει έναν κανόνα firewall για να σας προστατεύσει από αυτήν την επίθεση. Υπάρχουν ορισμένα βήματα που μπορεί να ακολουθήσει ένας κάτοχος ιστότοπου που δεν χρησιμοποιεί το Wordfence Premium, για να προστατεύσει τον ιστότοπό του από αυτήν την επίθεση που βρίσκεται σε εξέλιξη.
- Αναβαθμίστε το Ultimate Addons for Elementor. Βεβαιωθείτε ότι το Ultimate Addons for Elementor είναι έκδοση 1.24.2 ή μεταγενέστερη.
- Χρησιμοποιήστε το δωρεάν Elementor έως ότου κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα για το Elementor Pro. Μπορείτε να το κάνετε αυτό απενεργοποιώντας το Elementor Pro και αφαιρώντας το από τον ιστότοπό σας. Αυτό θα αφαιρέσει την ευπάθεια μεταφόρτωσης του αρχείου.
- Αφού λάβετε ενημέρωση, μπορείτε να εγκαταστήσετε ξανά την ενημερωμένη έκδοση του Elementor Pro στον ιστότοπό σας και να ανακτήσετε τυχόν χαμένη λειτουργικότητα. Ενδέχεται να χάσετε προσωρινά κάποια στοιχεία σχεδίασης, τα οποία είναι πιθανό να επιστρέψουν κατά την επανεγκατάσταση του Elementor Pro. Ωστόσο, καλό θα ήταν να δημιουργήσετε ένα αντίγραφο ασφαλείας όταν κάνετε το downgrade.
- Ελέγξτε για τυχόν άγνωστους subscriber-level users στον ιστότοπό σας. Αυτό μπορεί να υποδηλώνει ότι ο ιστότοπός σας έχει παραβιαστεί από αυτή την εκστρατεία επίθεσης. Εάν εντοπίσετε άγνωστους subscriber-level users, καταργήστε αυτούς τους λογαριασμούς.
- Ελέγξτε αν υπάρχουν αρχεία με την ονομασία “wp-xmlrpc.php”. Αυτά μπορούν να σας δείξουν αν έχει γίνει παραβίαση. Το Wordfence θα σας ειδοποιήσει εάν βρεθεί κάποιο αρχείο που να περιέχει κακόβουλο λογισμικό.
- Διαγράψτε τυχόν άγνωστα αρχεία ή φακέλους που βρίσκονται στον κατάλογο / wp-content / uploads / elementor / custom-icons /. Τα αρχεία που βρίσκονται σε αυτόν αποτελούν σαφή ένδειξη παραβίασης.
- Εάν εντοπίσετε εκτεταμένη “μόλυνση”, χρησιμοποιήστε το Wordfence για να καθαρίσετε τον ιστότοπό σας. Μπορείτε να απευθυνθείτε στην Ομάδα Υπηρεσιών Ασφαλείας για επαγγελματικό καθαρισμό sites. Τέλος, οι premium πελάτες έχουν πρόσβαση στην τεχνική υπηρεσία πελατών, για τυχόν ερωτήσεις.
Ευχαριστούμε τον κ. Φώτη Μαυράκη της retrocomputers.gr για την έγκαιρη και έγκυρη ενημέρωση!
