Μια σοβαρή ευπάθεια έχει αποκαλυφθεί στο πρόσθετο UpdraftPlus. Το UpdraftPlus είναι ένα εργαλείο για τη δημιουργία, επαναφορά και μετεγκατάσταση αντιγράφων ασφαλείας για αρχεία WordPress, βάσεις δεδομένων, πρόσθετα και θέματα. Σύμφωνα με τον ιστότοπό του, το UpdraftPlus χρησιμοποιείται από περισσότερους από τρία εκατομμύρια ιστότοπους WordPress, συμπεριλαμβανομένων εκείνων από οργανισμούς όπως η Microsoft, η Cisco και η NASA. Μπορείτε να διαβάσετε περισσότερες λεπτομέρειες για το exploit εδώ: https://www.cvedetails.com/cve/CVE-2022-0633/ Ο προγραμματιστής του plugin έχει κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα σε 1.22.3 (δωρεάν έκδοση) και 2.22.3 (έκδοση επί πληρωμή). Λόγω της σοβαρότητας της ευπάθειας, η ομάδα προσθηκών WordPress.org το έχει επισημάνει ως απαιτούμενη ενημέρωση της δωρεάν προσθήκης και αυτή η ενημέρωση κυκλοφορεί στους χρήστες της δωρεάν έκδοσης. Οι χρήστες Premium καλούνται επίσης να ενημερώσουν τα πρόσθετά τους. Σας συνιστούμε να αφιερώσετε λίγο χρόνο για να επαληθεύσετε, μέσω του πίνακα ελέγχου του WordPress , ότι οι ιστότοποί σας χρησιμοποιούν το UpdraftPlus 1.22.3/2.22.3 ή νεότερη έκδοση. Εάν χρησιμοποιείτε παλαιότερη έκδοση, ξεκινήστε την ενημέρωση το συντομότερο δυνατό.   Τη Δευτέρα, ο Marc-Alexandre Montpas – μηχανικός ασφαλείας στην Automattic Inc., μητρική εταιρεία του WordPress – υπέβαλε μια αναφορά ελαττώματος ασφαλείας που περιγράφει λεπτομερώς μια «σοβαρή ευπάθεια» που έκτοτε ονομάζεται CVE 2022-0633. Η βαθμολογία σοβαρότητας του ελαττώματος αναφέρεται ως Υψηλή, στο 8,5. Σύμφωνα με ένα ενημερωτικό δελτίο ασφαλείας που δημοσιεύτηκε από την UpdraftPlus την Τετάρτη, το bug επέτρεπε σε «οποιονδήποτε συνδεδεμένο χρήστη σε εγκατάσταση WordPress με ενεργό το UpdraftPlus να ασκήσει το δικαίωμα λήψης ενός υπάρχοντος αντιγράφου ασφαλείας, ένα προνόμιο που θα έπρεπε να είχε περιοριστεί μόνο σε διαχειριστές χρήστες. ” Τα αντίγραφα ασφαλείας είναι από τα πιο ευαίσθητα στοιχεία σε ένα περιβάλλον πληροφορικής, καθώς συνήθως περιέχουν όλα τα είδη δεδομένων χρήστη, οικονομικά δεδομένα, διαμορφώσεις βάσεων δεδομένων – πραγματικά, οτιδήποτε και οτιδήποτε έχει αξία. Μερικά από αυτά τα δεδομένα μπορούν αργότερα να αξιοποιηθούν για ακόμη πιο προηγμένες επιθέσεις. «Η πρόσβαση στα αντίγραφα ασφαλείας και στη βάση δεδομένων πιθανότατα θα χρησιμοποιηθεί πρώτα για κλοπή διαπιστευτηρίων», είπε ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich, στο Threatpost μέσω email την Πέμπτη, «αλλά υπάρχουν πολλές δυνατότητες για τους εισβολείς να εκμεταλλευτούν τις πληροφορίες». Το θεμελιώδες ελάττωμα σε αυτή την περίπτωση ήταν ο μηχανισμός με τον οποίο το UpdraftPlus επικύρωσε ποιος ζητούσε αντίγραφα ασφαλείας. Όπως περιγράφεται από αναλυτές ασφαλείας του WordPress στο Wordfence, η επίθεση ξεκινά με τη λειτουργία καρδιακού παλμού του WordPress. «Ο εισβολέας πρέπει να στείλει ένα ειδικά διαμορφωμένο αίτημα καρδιακού παλμού που να περιέχει μια παράμετρο data[updraftplus]», ανέφεραν σε μια εγγραφή της Πέμπτης. "Με την παροχή των κατάλληλων υποπαραμέτρων, ένας εισβολέας είναι σε θέση να αποκτήσει ένα αρχείο καταγραφής αντιγράφων ασφαλείας που περιέχει ένα αντίγραφο ασφαλείας nonce και χρονική σήμανση το οποίο μπορεί στη συνέχεια να χρησιμοποιήσει για τη λήψη ενός αντιγράφου ασφαλείας." Κυρίως, ο εισβολέας θα χρειαζόταν ήδη πρόσβαση στην τοποθεσία-στόχο προκειμένου να αξιοποιήσει την ευάλωτη λειτουργία του heartbeat. Αυτό μειώνει τον κίνδυνο για τους ιστότοπους μόνο σε εσωτερικές απειλές. Η δημοτικότητα του UpdraftPlus, σε συνδυασμό με την απλότητα αυτής της επίθεσης, είναι ένας ισχυρός συνδυασμός. Και όπως παρατήρησε ο Bud Broomhead, Διευθύνων Σύμβουλος της Viakoo, μέσω email στο Threatpost την Πέμπτη, «υπάρχει πάντα μια καθυστέρηση μεταξύ της εύρεσης μιας ευπάθειας και της εφαρμογής της επιδιόρθωσης ασφαλείας. Αυτή είναι μια περίπτωση που όλοι οι χρήστες (πληρωμένοι ή μη) λαμβάνουν ενημερώσεις κώδικα ασφαλείας για ευπάθειες υψηλής σοβαρότητας όπως αυτή." Μέρος μιας πολύ ευρύτερης επίθεσης". WordPress-patch-dlya-XSS-700x412 Το CVE 2022-0633 δεν είναι καθόλου μοναδικό. Τα ελαττώματα ασφαλείας στα πρόσθετα WordPress έχουν γίνει το πιο σημαντικό πρόβλημα στην ασφάλεια ιστού τους τελευταίους μήνες. Τον Ιανουάριο, ένα σφάλμα δέσμης ενεργειών μεταξύ τοποθεσιών στην προσθήκη WP HTML Mail εξέθεσε πάνω από 20.000 ιστότοπους και μια ευπάθεια ελέγχου ταυτότητας παρόμοια με το CVE 2022-0633 ανακαλύφθηκε σε τρία διαφορετικά πρόσθετα που εξυπηρετούν συνολικά 84 χιλιάδες ιστότοπους. Μόνο στις 18 Ιανουαρίου, σημειώθηκαν δύο σημαντικά περιστατικά ασφαλείας: μια ευπάθεια 9,9 στα 10 που ανακαλύφθηκε στην προσθήκη AdSanity και ένας συντονισμένος συμβιβασμός στην αλυσίδα εφοδιασμού 40 θεμάτων και 53 προσθηκών που ανήκουν στην AccessPress Themes. Τα τρωτά σημεία του WordPress δεν είναι κάτι νέο, αλλά υπερδιπλασιάστηκαν το 2021 και δεν φαίνεται να επιβραδύνουν σύντομα. Όπως σημείωσε ο Broomhead, «οι εκμεταλλεύσεις σε ευρέως χρησιμοποιούμενα πρόσθετα ή στοιχεία (π.χ. παρόμοια με το Log4j ή πρόσφατες ευπάθειες ανοιχτού κώδικα) έχουν μια σκληρή πραγματικότητα. Εναπόκειται σε κάθε τελικό χρήστη να λάβει μέτρα για να αποτρέψει την εκμετάλλευση της ευπάθειας εναντίον τους." Την Τετάρτη, το UpdraftPlus κυκλοφόρησε τις ενημερωμένες εκδόσεις 1.22.3 (δωρεάν) και 2.22.3 (με πληρωμή).   LV8-SIGNATURE-B