Google WordPress plugin: Στο επίσημο WordPress Plugin της Google, με 300.000 ενεργές εγκαταστάσεις, βρέθηκε κρίσιμο bug, το οποίο μπορεί να επιτρέψει σε hackers να αποκτήσουν πρόσβαση κατόχου σε στοχευμένα site του Google Search Console.
To Site Kit, είναι ένα WordPress plugin, σχεδιασμένο από την Google για να παρέχει στους ιδιοκτήτες ιστοσελίδων λεπτομέρειες σχετικά με τον τρόπο που οι επισκέπτες βρήκαν ή χρησιμοποιούν την ιστοσελίδα τους. Αντλεί τις πληροφορίες μέσω επίσημων στατιστικών που συλλέγονται από διάφορα εργαλεία της Google και εμφανίζονται απευθείας στον πίνακα ελέγχου του WordPress.
Επίσης διευκολύνει τη ρύθμιση και διαμόρφωση βασικών εργαλείων της Google όπως τa Search Console, Analytics, Tag Manager, PageSpeed Insights, Optimize, και AdSense.
Google Search Console Privilege Escalation
Η ευπάθεια κλιμάκωσης προνομιών του Google Search Console ανακαλύφθηκε από την ομάδα Wordfence Threat Intelligence, στις 21 Απριλίου και αναφέρθηκε στην ομάδα ασφαλείας της Google την επόμενη ημέρα.
Το bug προκλήθηκε από την αποκάλυψη του proxySetupURL στον πηγαίο κώδικα HTML των σελίδων διαχειριστή. Το URL χρησιμοποιείται για να συνδέσει το Site Kit με το Google Search Console μέσω του Google OAuth.
Η ευπάθεια συνδέθηκε με ένα άλλο πρόβλημα: το αίτημα επαλήθευσης, που χρησιμοποιείται για την επιβεβαίωση κατοχής μιας ιστοσελίδας ήταν καταχωρημένη πράξη διαχειριστή- δεν επέτρεπε τα requests από έναν πιστοποιημένο χρήστη του WordPress. «Αυτά τα δύο ελαττώματα επέτρεψαν στους χρήστες, επιπέδου συνδρομητών, να γίνουν κάτοχοι του Google Search Console σε κάθε ιστότοπο. Πιο συγκεκριμένα, μπορούν να χρησιμοποιηθούν για να βοηθήσουν έναν ανταγωνιστή ο οποίος θέλει να βλάψει τo ranking και τη φήμη μιας ιστοσελίδας», σύμφωνα με το Wordfence.
Οι τρόποι με τους οποίους μπορούν να χρησιμοποιηθούν προς όφελος των hackers ποικίλουν, με τους παρακάτω να είναι μέσα στη λίστα:
- Διευκόλυνση εκστρατειών Black Hat Seo μέσω των search engine result pages
- Εισαγωγή κακόβουλου κώδικα για παράνομη ρευστοποίηση (monetization)
- Αφαίρεση σελίδων από τις σελίδες αποτελεσμάτων της μηχανής αναζήτησης Google (SERPs)
- Τροποποίηση sitemaps
- Προβολή ανταγωνιστικών performance data
Η Google έχει προνοήσει για αυτό το πρόβλημα, και θα ειδοποιεί με αυτόματα μηνύματα τους κατόχους ιστοσελίδων κάθε φορά που προστίθεται ένας νέος κάτοχος στην ιστοσελίδα, ενώ «Οι κάτοχοι δικαιωμάτων μιας ιστοσελίδας μπορούν να αλλάξουν τις ρυθμίσεις που επηρεάζουν την αλληλεπίδραση της αναζήτησης του Google με τον ιστότοπο ή την εφαρμογή».
Σε περίπτωση που το μήνυμα ειδοποίησης έχει αποθηκευτεί στα spam emails, το Wordfence παρέχει οδηγίες για το πώς να επιβεβαιώσετε την ακεραιότητα ιδιοκτησίας του Google Search Console, και να ελέγξετε αν έχει προστεθεί κάποιος κακόβολους διαχειριστής και να τον αφαιρέσετε.
Αυτή η ευπάθεια διορθώθηκε στις 7 Μαΐου, με την κυκλοφορία του Site Kit 1.8.0, αφότου δημοσιεύτηκε το σφάλμα ασφαλείας στο Github Repository στις 4 Μαΐου. Συνίσταται σε όλους τους χρήστες να εγκαταστήσουν την τελευταία έκδοση η οποία είναι πλήρως ενημερωμένη.
