Открита е критична уязвимост в популярен плъгин за сигурност на WordPress с над 4 милиона инсталации. Недостатъкът позволява на атакуващите да влязат като всеки потребител, включително администратори, и да получат пълен достъп до техните разрешения на ниво сайт. Оценката на заплахата е 9,8 от 10, което подчертава лекотата на експлоатация и потенциала за пълно компрометиране на сайта, включително инжектиране на зловреден код, неоторизирани промени в съдържанието и атаки срещу посетителите на сайта.
Really Simple Security
Really Simple Security е плъгин за WordPress, който е разработен за подобряване на устойчивостта на WordPress сайтовете срещу експлойти (т.нар. укрепване на сигурността), активиране на двуфакторно удостоверяване, откриване на уязвимости и генериране на SSL сертификат. Една от причините, поради които се рекламира като лек, е, че е проектиран като модулен софтуер, който позволява на потребителите да избират кои подобрения на сигурността да активират, така че (на теория) процесите за деактивираните възможности да не натоварват и забавят сайта. Това е популярна тенденция в плъгините за WordPress, която позволява на софтуера да прави много неща, но да изпълнява само задачите, които потребителят изисква.
Плъгинът се популяризира чрез партньорски прегледи и според Google AI Overview се радва на силно положителни отзиви. Над 97% от отзивите в официалното хранилище на WordPress са оценени с пет звезди – най-високата възможна оценка, а по-малко от 1% оценяват плъгина с една звезда.
Какво се е объркало?
Недостатък в сигурността на плъгина го прави уязвим към заобикаляне на удостоверяването, което позволява на нападателя да получи достъп до области на сайта, които изискват потребителско име и парола, без да се налага да предоставя данни. Уязвимостта, специфична за Really Simple Security, позволява на нападателя да получи достъп до всеки регистриран потребител в сайта, включително до администратора, като просто знае потребителското име.
Това се нарича уязвимост за неавтентифициран достъп – един от най-сериозните видове недостатъци, тъй като обикновено е по-лесно да се експлоатира от „автентифициран“ недостатък, който изисква нападателят първо да получи потребителското име и паролата на регистриран потребител.
Wordfence обяснява точната причина за уязвимостта:
„Плъгините Really Simple Security (Free, Pro и Pro Multisite) за WordPress са уязвими към заобикаляне на удостоверяването във версии от 9.0.0 до 9.1.1.1. Това се дължи на неправилна обработка на грешки при проверка на потребителя в двуфакторните действия на REST API с функцията ‘check_login_and_get_user’. Това дава възможност на неавтентифицирани нападатели да влязат като всеки съществуващ потребител в сайта, например администратор, когато настройката „Двуфакторно удостоверяване“ е разрешена (по подразбиране е изключена).
През последните 24 часа Wordfence блокира 310 атаки, насочени към тази уязвимост.“
Препоръчителен начин на действие:
Wordfence препоръчва на потребителите на плъгина да го актуализират до версия 9.1.2 (или по-висока) на Really Simple Security.
