„Wordpress“ yra populiariausia turinio valdymo sistema pasaulyje. Neseniai joje buvo aptikta kritinė spraga, susijusi su „REST API“ funkcionalumu. Piktavaliai pasinaudojo spraga ir pažeidė virš 100 000 svetainių. Pažeidžiamos „Wordpress“ versijos – 4.7 ir 4.7.1.
Turinio valdymo sistema (TVS) „Wordpress“ yra išskirtinai populiari. Pagal organizacijos „W3Techs“ duomenis, minėta TVS užima 1-ą vietą su dideliu atotrūkiu tarp visų analogiškų sistemų („Drupal“, „Joomla“ ir pan.). Kas ketvirta interneto svetainė pasaulyje valdoma „Wordpress“. Toks populiarumas visada lemia išskirtinį piktavalių, pasirengusių išnaudoti saugumo spragas, dėmesį.
Nagrinėjama spraga susijusi su „REST API“ funkcionalumu. „API“ yra taikomosios programos sąsaja (angl. Application Program Interface), o „REST API“ naudoja įvairias HTTP protokolo užklausas informacijos gavimui, talpinimui ir keitimui. Aptikta spraga leidžia neautorizuotam (neprisijungusiam su savo vardu ir slaptažodžiu) naudotojui pakeisti bet kurį svetainės puslapį. Ataka, kai atliekamas neleistinas svetainės turinio keitimas, angl. vadinama „defacement“. Pažeidžiamos yra „Wordpress“ versijos 4.7 ir 4.7.1.
Per trumpą laikotarpį buvo užvaldyta ne mažiau kaip 120 000 įvairių interneto svetainių. Paminėtina, kad daugeliu atveju neleistinas svetainės turinio keitimas buvo nežymus, apsiribojant keliomis frazėmis (pvz., „by w4l3XZy3“, „Hacked by Bala Sniper“).
CERT-LT rekomenduoja:
Nedelsiant naujinti „Wordpress“ versijas 4.7 ir 4.7.1 iki 4.7.2. Bendros rekomendacijos interneto svetainėms apsaugoti: https://www.cert.lt/rekomendacijos/interneto_svetainiu_apsauga.html.
Daugiau informacijos:
1) „Wordpress“ naudojimo statistika
2) https://wpvulndb.com/vulnerabilities/8734
3) Techninis spragos aprašymas