Нападателите могат да инжектират и изпълнят произволен PHP код, използвайки недостатък в Backup Migration, който е изтеглен повече от 90 хил. пъти.
Критична грешка в неавтентифицирано изпълнение на дистанционно управление (RCE) в приставка за архивиране, която е била изтеглена повече от 90 000 пъти, излага уязвимите сайтове на WordPress на риск от превземане – още един пример за епидемията от рискове, породени от дефектни приставки за платформата за изграждане на уебсайтове.
Група изследователи на уязвимости, наречена Nex Team, откри уязвимост в инжектирането на PHP код в Backup Migration, приставка, която администраторите на WordPress сайтове могат да използват, за да улеснят създаването на резервно копие на сайт. Грешката е проследена като CVE-2023-6553 и е оценена с 9,8 по скалата за уязвимост и сериозност CVSS.
Функциите на приставката включват възможност за планиране на архивирането, което да се извършва своевременно и с различни конфигурации, включително определяне на това кои точно файлове и/или бази данни трябва да бъдат в архива, къде ще се съхранява архивът, името на архива и т.н.
„Тази уязвимост позволява на неавтентифицирани лица да инжектират произволен PHP код, което води до пълно компрометиране на сайта“, пише Алекс Томас, старши изследовател на уязвимости в уеб приложенията в Defiant, в публикация в блога на Wordfence относно CVE-2023-6553. Wordfence заяви, че е блокирала 39 атаки, насочени към тази уязвимост, само за 24 часа преди написването на публикацията.
Изследователите от Nex Team подадоха грешката към наскоро създадената от Wordfence програма за награди за грешки. Wordfence уведоми BackupBliss, създателите на приставката Backup Migration, и часове по-късно беше пусната кръпка.
Компанията също така награди Nex Team с 2 751 долара за съобщаването на грешката в своята програма за възнаграждения, която беше стартирана на 8 ноември. Досега Wordfence съобщи, че има положителен отговор на програмата, като през първия месец са се регистрирали 270 изследователи на уязвимости и са подадени близо 130 сигнала за уязвимости.
Изложени на неавтентифицирано, пълно превземане на сайта
Със стотиците милиони уебсайтове, изградени на базата на системата за управление на съдържанието (CMS) WordPress, платформата и нейните потребители представляват голяма повърхност за атаки за заплахите и поради това са честа цел на злонамерени кампании. Много от тях се осъществяват чрез плъгини, които инсталират зловреден софтуер и осигуряват лесен начин за излагане на хиляди или дори милиони сайтове на потенциална атака. Нападателите също така са склонни бързо да се възползват от откритите в WordPress недостатъци.
Недостатъкът RCE се дължи на това, че „атакуващият може да контролира стойностите, предавани на include, и впоследствие да използва това, за да постигне отдалечено изпълнение на код“, се казва в публикация на сайта на Wordfence. „Това дава възможност на неупълномощени атакуващи лесно да изпълняват код на сървъра“.
По-конкретно, ред 118 във файла /includes/backup-heart.php, използван от приставката Backup Migration, се опитва да включи bypasser.php от директорията BMI_INCLUDES, според Wordfence. Директорията BMI_INCLUDES се определя чрез конкатенация на BMI_ROOT_DIR с низът includes на ред 64; този BMI_ROOT_DIR обаче се определя чрез HTTP заглавието content-dir на ред 62, което създава грешката.
„Това означава, че BMI_ROOT_DIR може да се контролира от потребителя“, пише Томас. „Чрез подаване на специално подготвена заявка, извършителите на заплахи могат да се възползват от този проблем, за да включат произволен, злонамерен PHP код и да изпълнят произволни команди на основния сървър в контекста на сигурността на инстанцията на WordPress.“
Поправка на CVE-2023-6553 в миграцията на резервни копия сега
Всички версии на Backup Migration до версия 1.3.7 включително чрез файла /includes/backup-heart.php са уязвими към дефекта, който е поправен във версия 1.3.8. Според Wordfence всеки, който използва приставката в сайт на WordPress, трябва да я актуализира възможно най-скоро до коригираната версия.
„Ако познавате някого, който използва тази приставка на сайта си, препоръчваме да споделите тази препоръка с него, за да гарантирате, че сайтът му ще остане сигурен, тъй като тази уязвимост представлява значителен риск“, се казва в публикацията на Wordfence.