A Kormányzati Eseménykezelő Központ riasztást ad ki a WordPress kritikus kockázati besorolású sérülékenysége kapcsán, annak súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt. A sérülékenység a WordPress 4.7.2 előtti rendszereket érinti.
A sérülékenység kihasználásával a támadó a REST API végponton keresztül jogosultság kiterjesztést érhet el, amely következtében bármely tartalom szabadon megváltoztatható a weboldalon. A sérülékenységet január 26-án javították, leírását azonban csak később tették közzé. A támadók a nyilvánosságra hozatalt követően kevesebb, mint 48 órán belül már aktívan ki is használták a sérülékenységet. A Sucuri szakemberei eddig összesen 4 különböző kampányt azonosítottak, amelyek keretében több, mint 100 ezer deface támadást fedeztek fel.
A sérülékenység kihasználásának kiküszöbölése érdekében frissítsen a WordPress 4.7.2-es verziójára. (A gyártó szerint a REST API plugin-nal rendelkező régebbi verziók nem érintettek.)
További információ:
- http://tech.cert-hungary.hu/vulnerabilities/CH-13858
- https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
- https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerability-abused-in-defacement-campaigns.html
- http://www.welivesecurity.com/2017/02/08/100000-wordpress-webpages-defaced-recently-patched-vulnerability-exploited/
- https://threatpost.com/attackers-capitalizing-on-unpatched-wordpress-sites/123617/
- http://www.securityweek.com/many-wordpress-sites-hacked-recently-patched-flaw
Nemzeti Elektronikus Információbiztonsági Hatóság
Érdemes az iThemes Security bővítmény használata során tiltani ezt a lehetőséget (WordPress Tweaks), ha nincs kimondottan erre szükségünk.
The WordPress REST API is part of WordPress and provides developers with new ways to manage WordPress. By default, it could give public access to information that you believe is private on your site. For more details, see our post about the WordPress REST API here.
Restricted Access – Restrict access to most REST API data. This means that most requests will require a logged in user or a user with specific privileges, blocking public requests for potentially-private data. We recommend selecting this option.
Végzettségem informatikus/rendszerinformatikus. 2010 óta készítem valko.hu, media-valko.hu, valko-ksk.tk, könyvtár térkép szerverét és 2016. évtől az iskola.valko.hu oldalait. Jelenleg a Valkó Községi Könyvtárában dolgozom.
További tetteim: facan-godollo.hu, raktarozas.org, pc-valko.hu, malota.hu, irodakoltoztetes.hu, budapest-költöztetés.hu, express-teher.hu, altisk-valko.sulinet.hu,