Děravý plugin WP Mobile Detector ohrožuje přes deset tisíc instalací

Bezpečnost, ,

Koncem května objevila Sucuri závažnou bezpečnostní díru ve WordPress pluginu WP Mobile Detector. Útočník pomocí ní mohl kompletně ovládnout celou instalaci. Prozatím většina napadených webů obsahuje jen škodlivý kód, který přesměruje návštěvníky na stránky s obsahem pro dospělé.

Podle údajů Sucuri se napadené weby se začali objevovat zhruba kolem 27. května a 31. května byla bezpečnostní díra už veřejně známá. Problém se začal stupňovat, protože provést úspěšný útok nebylo nic náročného. Stačilo poslat request na soubor obsahující zranitelnost. Nic víc nebylo třeba. Na stránkách Sucuri byl dokonce i příklad jak takový útok provést.

Jak už asi tušíte, chyba byla v neošetřeném vstupu. Konkrétně útočník mohl nahrát do dočasného adresáře vlastní soubor z jakékoliv URL. Tedy vytvořit si například backdoor, který poté zavolal a mohl si dělat s vaší instalací co chtěl.

Opravit neošetřený vstup většinou není nic náročného. Sucuri vývojáře před zveřejněním vždy dopředu informují, aby mohl vydat bezpečnostní aktualizaci. Problém ovšem nastal s právě s tvůrci pluginu, kteří na oznámení nereagovali. Tedy žádná bezpečnostní aktualizace nevyšla. Následkem toho byl plugin vyřazen z WordPress.org. Všude se objevilo doporučení ať plugin co nejdříve smažete.

Naštěstí 2. června (týden po objevení a nahlášení chyby) vyšla bezpečnostní záplata, kterou si uživatelé WP Mobile Detector mohli stáhnout. Zároveň byl plugin vrácen na WordPress.org. Vzhledem k jednoduchosti zneužití bezpečnostní díry, délce vydání opravy a počtu ohrožených instalací je zde šance, že spousta WordPress s tímto pluginem byla již napadena. Pokud patříte mezi uživatele, kteří tento plugin používají, doporučuji projít instalaci, zdali se v ní nenachází nějaký nový soubor anebo nějaký nebyl v poslední době změněn.

Výhodu mají ti z vás, kteří používají nějaký bezpečnostní plugin jako třeba WordFence. Tyto pluginy mají Web Application Firewall. Ten dokáže některým útokům na neošetřené vstupy zabránit.

Celá kauza však poukazuje na velký problém s aktualizací pluginů. Pokud se jejich tvůrce rozhodně nereagovat na bezpečnostní hrozbu a plugin neopraví jsou všechny instalace ohroženy. Spousta pluginů je starých a jejich autor už o ně nemusí vůbec stát. Žádná podpora není nijak garantována, ale to je všeobecně problém věcí které jsou zdarma. O to více se musíte starat sami a sledovat, zdali někde s některým z pluginů, který používáte není nějaký problém.

Share Button

Tento článek byl byl přečten 2515 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *