Δύο σοβαρές ευπάθειες στο Post Grid, ένα plugin του WordPress με περισσότερες από 60.000 εγκαταστάσεις, ανοίγoυν την πόρτα για εισβολή. Για αρχή, σχεδόν πανομοιότυπα σφάλματα εντοπίζονται επίσης στο αδελφικό plugin του Post Grid, Team Showcase, που διαθέτει 6.000 εγκαταστάσεις.
Τα σφάλματα είναι ένα ελάττωμα XSS, καθώς και ένα πρόβλημα έγχυσης PHP. Και τα δύο σφάλματα εκκρεμούν αριθμούς CVE, ενώ και τα δύο είναι υψηλής σοβαρότητας, με βαθμολογία 7,5 στα 10 στην κλίμακα αξιολόγησης ευπάθειας CvSS.
Το Post Grid, πιστό στο όνομά του, επιτρέπει στους χρήστες να εμφανίζουν τις αναρτήσεις τους σε διάταξη πλέγματος. Εν τω μεταξύ, το Team Showcase προσφέρει έναν τρόπο για να επισημάνετε εύκολα τα μέλη της ομάδας ενός οργανισμού. Και τα δύο επέτρεψαν την εισαγωγή προσαρμοσμένων διατάξεων και χρησιμοποίησαν σχεδόν πανομοιότυπες – και ευάλωτες – λειτουργίες για να το κάνουν, σύμφωνα με τον Ram Gall, ερευνητή του Wordfence.
Το σφάλμα XSS μπορεί να επιτρέψει σε έναν εισβολέα να παράσχει μια παράμετρο που δείχνει ένα κακόβουλο φορτίο που φιλοξενείται αλλού. Στη συνέχεια, η συνάρτηση θα ανοίξει το αρχείο που περιέχει το φορτίο, θα το αποκωδικοποιήσει και θα δημιουργήσει μια νέα διάταξη σελίδας με βάση τα περιεχόμενά της.
«Η δημιουργημένη διάταξη περιελάμβανε μια ενότητα custom_scripts και ένας εισβολέας θα μπορούσε να προσθέσει κακόβουλο JavaScript στο τμήμα custom_css αυτής της ενότητας. Στη συνέχεια, αυτό θα εκτελείται κάθε φορά που ένας διαχειριστής χρήστης επεξεργάζεται τη διάταξη ή ένας επισκέπτης επισκέπτεται μια σελίδα με βάση τη διάταξη.»
Το αποτέλεσμα είναι ότι οι εισβολείς του Post Grid θα μπορούσαν να χρησιμοποιήσουν το κακόβουλο JavaScript για να προσθέσουν έναν κακόβουλο διαχειριστή, ένα backdoor για προσθήκες ή αρχεία θεμάτων ή να κλέψουν τις πληροφορίες περιόδου λειτουργίας του διαχειριστή – όλα αυτά είναι διαδρομές για την ολοκλήρωση της ανάκτησης ενός ιστότοπου.
«Και στις δύο περιπτώσεις, ένας εισερχόμενος εισβολέας με ελάχιστα δικαιώματα, όπως ο συνδρομητής, θα μπορούσε να ενεργοποιήσει τις λειτουργίες στέλνοντας ένα αίτημα AJAX, με την ενέργεια να έχει οριστεί σε post_grid_import_xml_layouts για τo Post Grid ή team_import_xml_layouts για τo Team Showcase, με κάθε ενέργεια να ενεργοποιεί μια λειτουργία με το ίδιο όνομα,» εξήγησε ο Gall.
Το δεύτερο ζήτημα, το σφάλμα εντοπισμού αντικειμένων PHP, προκύπτει στη συνάρτηση εισαγωγής, επειδή δεν έκανε την αποτύπωση του ωφέλιμου φορτίου που παρέχεται στην παράμετρο προέλευσης. Ένας εισβολέας θα μπορούσε επομένως να εκτελέσει αυθαίρετο κώδικα, να διαγράψει ή να γράψει αρχεία, ή ακόμα και να εκτελέσει οποιονδήποτε αριθμό άλλων ενεργειών που θα μπορούσαν να οδηγήσουν σε κατάληψη ιστότοπου.
Για να πυροδοτήσει το ελάττωμα, «ένας εισβολέας θα μπορούσε να δημιουργήσει μια συμβολοσειρά που δεν θα μπορούσε να αποστειρωθεί σε ένα ενεργό αντικείμενο PHP. Αν και κανένα plugin δεν χρησιμοποίησε ευάλωτες μαγικές μεθόδους, εάν είχε εγκατασταθεί ένα άλλο plugin που χρησιμοποιεί μια ευάλωτη μαγική μέθοδο, η «ένεση αντικειμένων» θα μπορούσε να χρησιμοποιηθεί από έναν εισβολέα».
Και οι δύο ευπάθειες συνήθως απαιτούν από τον εισβολέα να έχει λογαριασμό με προνόμια, τουλάχιστον, επιπέδου συνδρομητή – αλλά υπάρχει ένα κενό.
«Ωστόσο, οι ιστότοποι που χρησιμοποιούν ένα plugin ή ένα θέμα που επιτρέπει στους μη εξουσιοδοτημένους επισκέπτες να εκτελούν αυθαίρετα συντομεύσεις, θα είναι ευάλωτοι σε μη εξουσιοδοτημένους εισβολείς,» πρόσθεσε ο Gall.
Ο προγραμματιστής των plugin, PickPlugins, έχει εκδώσει ενημερώσεις κώδικα, επομένως οι διαχειριστές ιστού πρέπει να τα αναβαθμίσουν το συντομότερο δυνατό. Οι σταθερές εκδόσεις είναι Post Grid v. 2.0.73 και Team Showcase v. 1.22.16.
Αυτά είναι τα πιο πρόσφατα στη σειρά των ελαττωματικών προσθηκών WordPress που παρουσιάστηκαν φέτος. Τον Σεπτέμβριο, διαπιστώθηκε ότι ένα έντονο σφάλμα στην προσθήκη «Συνδρομητές και ενημερωτικά δελτία ηλεκτρονικού ταχυδρομείου» από την Icegram, επηρεάζει περισσότερους από 100.000 ιστότοπους WordPress.
Νωρίτερα τον Αύγουστο, μια προσθήκη που έχει σχεδιαστεί για να προσθέσει κουίζ και έρευνες σε ιστότοπους του WordPress επέστρεψε δύο κρίσιμες ευπάθειες. Τα ελαττώματα θα μπορούσαν να αξιοποιηθούν από απομακρυσμένους, μη εξουσιοδοτημένους εισβολείς για να ξεκινήσουν διάφορες επιθέσεις – συμπεριλαμβανομένης της πλήρους ανάληψης ευάλωτων ιστότοπων. Επίσης τον Αύγουστο, το Newsletter, ένα πρόσθετο WordPress με περισσότερες από 300.000 εγκαταστάσεις, ανακαλύφθηκε ότι έχει ένα ζευγάρι ευπαθειών που θα μπορούσαν να οδηγήσουν σε εκτέλεση κώδικα, και ακόμη και ανάληψη ιστότοπου.
Να σημειώσουμε ότι οι ερευνητές τον Ιούλιο προειδοποίησαν για μια κρίσιμη ευπάθεια σε ένα plugin του WordPress που ονομάζεται Comments – wpDiscuz, το οποίο εγκαταστάθηκε σε περισσότερους από 70.000 ιστότοπους. Το ελάττωμα έδωσε στους μη εξουσιοδοτημένους εισβολείς τη δυνατότητα να ανεβάζουν αυθαίρετα αρχεία (συμπεριλαμβανομένων των αρχείων PHP) και τελικά να εκτελούν απομακρυσμένο κώδικα σε ευάλωτους διακομιστές ιστότοπων.
