Twitter
Google plus
Facebook
Vimeo
Pinterest

Fluid Edge Themes

Blog

Home  /  #SafellyWordpress   /  Nieświadoma instalacja dowolnej wtyczki na WordPress przez błąd CSRF w WordPress Download Manager w wersji do 2.9.60

Nieświadoma instalacja dowolnej wtyczki na WordPress przez błąd CSRF w WordPress Download Manager w wersji do 2.9.60

Ósmego stycznia po raz pierwszy można znaleźć wzmiankę na temat dziury CSRF we wtyczce WordPress Download Manager w wersji do 2.9.60. Dzisiaj ta informacja wyszła na światło dzienne, wraz z aktualizacją wtyczki. Opisujemy czym jest atak CSFR, jakie ma skutki i jakie kroki powinniśmy podjąć, jeżeli jesteśmy właścicielem strony opartej o WordPress lub sklep WooCommerce i posiadamy wtyczkę WordPress Download Manager.

Jakie są skutki?

Błąd w tej wtyczce sprawia, że atakujący może zdalnie zainstalować dowolną wtyczkę. Na szczęście wymaga dostępu Administratora, co oznacza, że musi przesłać Tobie odpowiednio spreparowany link lub stronę. Oczywiście może to być skrócony link, który nie budzi podejrzeń. Dlatego zachowaj szczególną ostrożność, kiedy otwierasz linki od nieznanych Ci osób. Po kliknięciu na odpowiedni link lub przesłaniu przygotowanego przez atakującego formularza może nastąpić instalacja dowolnej wtyczki.

Co ciekawe – nie musi to być oficjalna wtyczka zatwierdzona przez WordPress, a dowolna, pochodząca skądkolwiek. Atakujący może więc przygotować wtyczkę, która ma nieograniczone złośliwe możliwości, wrzucić ją na własny serwer i zainstalować u Ciebie.

Podsumowując, tak przebiega atak:

  1. Otrzymujesz podejrzany (najczęściej skrócony) link lub formularz
  2. Przesyłasz formularz lub klikasz link…
  3. …widzisz Twoją stronę. W tle natomiast rozpoczyna się pobieranie dowolnej wtyczki.
  4. Wtyczka jest instalowana na Twoim WordPressie. Od teraz może wykonywać dowolne komendy przekazane przez atakującego.

Co zrobić, jak żyć?

Zalecamy przede wszystkim jak najszybszą aktualizację do wersji 2.9.61. Pamiętaj również o podstawowych zasadach bezpieczeństwa, które w tym przypadku są niezbędne:

  • Nie klikaj na podejrzanie wyglądające linki. Pamiętaj, że możesz sprawdzić dokąd prowadzi skrócony link (np. korzystając z tego serwisu). Jeżeli link zawiera adres Twojej strony i dziwną końcówkę – może to być próba ataku.
  • Nie nadawaj uprawnień Administratora osobom, które absolutnie tego nie wymagają. Pamiętaj, że im więcej osób z podwyższonymi uprawnieniami, tym większe pole do manewru socjotechnikami atakującego.

Szczegóły techniczne

Jeżeli interesują Cię szczegóły techniczne tego ataku, to tutaj znajdziesz kilka ciekawych rzeczy dla Ciebie. Jeżeli interesuje Cię natomiast tylko praktyczna strona problemu, to w zasadzie to może być trochę nudne 😉

Atak CSRF oznacza, że do jakiegoś punktu systemu, który powinien być świadomie zatwierdzony przez osobę, jest dostępny bez wiedzy tej osoby. Pisząc krótko – to najczęściej formularz, który można przesłać tylko świadomie, ale odpowiednia preparacja pozwala „automatycznie” przesłać i wykonać ten formularz.

Jest kilka sposobów radzenia sobie z takim atakiem, WordPress implementuje tzw. WordPress Nonce (więcej o tym możesz poczytać tutaj). Dzięki temu programista może prosto zabezpieczyć się przed atakiem CSRF.

Czasami zdarza się, że podczas rozwoju wtyczki, czy szablonu pominie się jakieś miejsce, które powinno być zabezpieczone. Tak właśnie było w przypadku WordPress Download Manager w wersji do 2.9.60. Miejscem tym była właśnie automatyczna instalacja dodatkowych wtyczek.

Co ciekawe w przypadku tego ataku, funkcja instalacji wtyczek posługuje się zmienną $_REQUEST (więcej o niej tutaj). Oznacza to, że w pewnych warunkach wystarczy odpowiedni odnośnik – nie trzeba budować spreparowanego formularza.

Instalacja wtyczek (a właściwie ich rozpakowanie do wp_content/plugins) w WordPress Download Manager odbywała się za pomocą dowolnego odnośnika – dlatego możliwa jest instalacja z dowolnego miejsca dowolnego kodu.

Post a comment

Najnowsze wpisy