Η ομάδα ασφαλείας του WordPress έκανε μια σπάνια κίνηση την περασμένη εβδομάδα και κυκλοφόρησε ένα αναγκαστικό security update για ένα δημοφιλές plugin.
Οι ιστότοποι WordPress που εκτελούν το plugin Loginizer ενημερώθηκαν αναγκαστικά αυτήν την εβδομάδα στην Loginizer έκδοση 1.6.4.
Αυτή η έκδοση περιείχε μια επιδιόρθωση ασφαλείας για ένα επικίνδυνο σφάλμα SQL injection που θα μπορούσε να επιτρέψει στους χάκερ να εισβάλλουν σε ιστότοπους WordPress που εκτελούν παλαιότερες εκδόσεις του plugin Loginizer.
Το Loginizer είναι ένα από τα πιο δημοφιλή plugin του WordPress σήμερα, αφού έχει εγκατασταθεί σε πάνω από ένα εκατομμύριο sites.
Το plugin παρέχει βελτιώσεις ασφαλείας για τη σελίδα σύνδεσης του WordPress. Σύμφωνα με την επίσημη περιγραφή του, το Loginizer μπορεί να βάλει σε blacklist ή whitelist μια IP, επιτρέποντας της ή όχι να έχει πρόσβαση στη σελίδα σύνδεσης του WordPress, μπορεί να προσθέσει υποστήριξη για έλεγχο ταυτότητας δύο παραγόντων ή μπορεί να προσθέσει CAPTCHA για τον αποκλεισμό των αυτοματοποιημένων προσπαθειών σύνδεσης, μεταξύ πολλών άλλων χαρακτηριστικών.
SQL injection ανακαλύφθηκε στο Loginizer
Αυτή την εβδομάδα, ο ερευνητής ασφαλείας Slavco Mihajloski αποκάλυψε μια σοβαρή ευπάθεια στο plugin του Loginizer.
Σύμφωνα με μια περιγραφή που παρέχεται από τη βάση δεδομένων ευπάθειας του WPScan WοrdPress, το σφάλμα ασφαλείας βρίσκεται στον μηχανισμό προστασίας brute-force του Loginizer, ο οποίος ενεργοποιείται από προεπιλογή για όλους τους ιστότοπους όπου είναι εγκατεστημένο το Loginizer.
Για να εκμεταλλευτεί αυτό το σφάλμα, ένας εισβολέας μπορεί να προσπαθήσει να συνδεθεί σε ένα WordPress site χρησιμοποιώντας ένα όνομα χρήστη WοrdPress με λανθασμένη μορφή στο οποίο μπορεί να περιλαμβάνει SQL statements.
Όταν ο έλεγχος ταυτότητας αποτύχει, το Loginizer plugin θα καταγράψει αυτήν την αποτυχημένη προσπάθεια στη βάση δεδομένων του ιστότοπου WordPress, μαζί με το αποτυχημένο όνομα χρήστη.
Ωστόσο, όπως εξηγούν οι Slavco και WPScan, το plugin δεν εξυπηρετεί το όνομα χρήστη και αφήνει ανέπαφα τα SQL statements, επιτρέποντας στους απομακρυσμένους εισβολείς να εκτελούν κώδικα ενάντια στη βάση δεδομένων του WordPress – σε αυτό που οι ερευνητές ασφαλείας αναφέρονται ως μια μη εξουσιοδοτημένη επίθεση SQL.
Ο Dewhurst επεσήμανε επίσης ότι ο Mihajloski παρείχε ένα απλό «proof-of-concept script» σε μια λεπτομερή έκθεση που δημοσιεύθηκε νωρίτερα σήμερα.
Το σφάλμα είναι ένα από τα χειρότερα ζητήματα ασφαλείας που ανακαλύφθηκαν στα plugin του WordPress τα τελευταία χρόνια και γι ‘αυτό η ομάδα ασφαλείας του WordPress φαίνεται να αποφάσισε να ωθήσει αναγκαστικά την ενημέρωση κώδικα Loginizer 1.6.4 σε όλους τους επηρεαζόμενους ιστότοπους.
Ο Dewhurst είπε στο ZDNet ότι αυτή η λειτουργία “αναγκαστικής ενημέρωσης plugin” υπάρχει στο codebase του WοrdPress από το v3.7, που κυκλοφόρησε το 2013. Ωστόσο, χρησιμοποιείται πολύ σπάνια.
Αλλά υπάρχει ένας λόγος για τον οποίο η ομάδα ασφαλείας του WordPress δεν χρησιμοποιεί αυτήν τη δυνατότητα για όλες τις ευπάθειες plugin και το χρησιμοποιεί μόνο για τα πολύ σοβαρά σφάλματα.
Μόλις η ενημερωμένη έκδοση κώδικα του Loginizer 1.6.4 άρχισε να φθάνει σε ιστότοπους του WοrdPress την προηγούμενη εβδομάδα, οι χρήστες άρχισαν να διαμαρτύρονται στο φόρουμ του plugin στο WordPress.org repository.
