Οι ιστότοποι WordPress που χρησιμοποιούν το Ninja Forms, ένα plugin δημιουργίας φορμών με περισσότερες από 1 εκατομμύριο εγκαταστάσεις, ενημερώθηκαν μαζικά αυτήν την εβδομάδα σε μια νέα έκδοση που αντιμετωπίζει μια κρίσιμη ευπάθεια ασφαλείας που πιθανότατα γίνεται αντικείμενο εκμετάλλευσης από τους χάκερ.
Δείτε επίσης: WordPress: Εκατομμύρια επιθέσεις στοχεύουν το Tatsu Builder plugin
Στις 16 Ιουνίου 2022, η ομάδα του Wordfence Threat Intelligence παρατήρησε μια ενημέρωση ασφαλείας back-ported στο Ninja Forms, ένα WordPress plugin με περισσότερες από ένα εκατομμύριο ενεργές εγκαταστάσεις. H ομάδα ανέλυσε το plugin για να προσδιορίσει τη δυνατότητα εκμετάλλευσης και τη σοβαρότητα της ευπάθειας που είχε επιδιορθωθεί.
Η ευπάθεια είναι ένα θέμα code injection που επηρεάζει πολλές εκδόσεις φορμών Ninja, ξεκινώντας από την έκδοση 3.0 και νεότερες εκδόσεις.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Ο αναλυτής απειλών του Wordfence, Ramuel Gall, ανακάλυψε κατά το reverse-engineering του patch ότι οι επιτιθέμενοι χωρίς έλεγχο ταυτότητας μπορούν να εκμεταλλευτούν αυτό το σφάλμα εξ αποστάσεως για να καλέσουν διάφορες κατηγορίες φορμών Ninja χρησιμοποιώντας ένα ελάττωμα στη δυνατότητα Merge Tags.
Δείτε επίσης: Elementor WordPress plugin: Κρίσιμη ευπάθεια επηρεάζει χιλιάδες sites
Το επιτυχές exploitation τους επιτρέπει να καταλαμβάνουν πλήρως unpatched WordPress sites μέσω αρκετών αλυσίδων εκμετάλλευσης, μία από τις οποίες επιτρέπει την απομακρυσμένη εκτέλεση κώδικα μέσω deserialization για την πλήρη κατάληψη του στοχευμένου ιστότοπου.
Αναγκαστική ενημέρωση και πιθανή εκμετάλλευση από τους χάκερ
Αν και δεν έχει υπάρξει επίσημη ανακοίνωση, οι περισσότεροι ευάλωτοι ιστότοποι φαίνεται να έχουν ενημερωθεί αναγκαστικά με βάση τον αριθμό των λήψεων από τότε που αυτό το ελάττωμα επιδιορθώθηκε στις 14 Ιουνίου.
Σύμφωνα με τα στατιστικά λήψεων του Ninja Forms, η ενημερωμένη έκδοση ασφαλείας έχει κυκλοφορήσει περισσότερες από 730.000 φορές από την κυκλοφορία της ενημέρωσης κώδικα.
Εάν το plugin δεν έχει ακόμη ενημερωθεί αυτόματα στην ενημερωμένη έκδοση, μπορείτε να εφαρμόσετε χειροκίνητα την ενημέρωση ασφαλείας από τον πίνακα εργαλείων (η πιο πρόσφατη έκδοση που προστατεύεται από επιθέσεις είναι η 3.6.11).
Οι αναλυτές του Wordfence βρήκαν και στοιχεία που υποδεικνύουν ότι αυτό το ελάττωμα ασφαλείας χρησιμοποιείται ήδη σε συνεχιζόμενες επιθέσεις.
Αναγκαστικές ενημερώσεις που χρησιμοποιούνται για την επιδιόρθωση κρίσιμων σφαλμάτων
Αυτό ταιριάζει με προηγούμενες περιπτώσεις όταν η Automattic, η εταιρεία πίσω από το σύστημα διαχείρισης περιεχομένου WordPress, έκανε αναγκαστικές ενημερώσεις για να διορθώσει γρήγορα κρίσιμα ελαττώματα ασφαλείας που χρησιμοποιούνται από εκατοντάδες χιλιάδες ή εκατομμύρια ιστότοπους.
Ο Samuel Wood, ένας προγραμματιστής του WordPress, είπε τον Οκτώβριο του 2020 ότι η Automattic είχε χρησιμοποιήσει αναγκαστικές ενημερώσεις ασφαλείας για να προωθήσει “εκδόσεις ασφαλείας για plugins πολλές φορές” από την κυκλοφορία του WordPress 3.7.
Δείτε επίσης: WordPress: Κρίσιμες ευπάθειες σε Jupiter Themes και JupiterX Core plugin
Όπως είπε ο ερευνητής ασφάλειας της Automattic, Marc Montpas, στο BleepingComputer τον Φεβρουάριο, η αναγκαστική ενημέρωση κώδικα χρησιμοποιείται ανεξάρτητα από τις ρυθμίσεις των διαχειριστών τους σε «πολύ σπάνιες και εξαιρετικά σοβαρές περιπτώσεις».
Πηγή πληροφοριών: bleepingcomputer.com