Уязвими теми за WordPress

wordpress-vulnerability-fire

Най-популярната платформа за бързо и лесно създаване на уеб сайтове WordPress продължава да бъде във фокуса на хакерската активност. През последния месец, освен необичайно голямата мрежова атака от типа DDOS, все по-агресивно се атакуват уязвимости в графичните теми. Техническата поддръжка на Host.bg последователно изследва всички атаки. В момента има засилен интерес към теми, които използват инструмента TimThumb. Традиционно продължават да се експлоатират голям брой теми със CSRF (Cross-Site Request Forgery) и CSS (Cross Site Scripting) уязвимости. Списъкът на атакуваните уязвимите теми е публикуван по-долу. Пролуките в сигурността се използват за:

– Изпращане на спам
– Инсталиране на зловреден код
– Участие в мрежови атаки
– Кражба на акаунт информация
– Промяна на началната страница
– Компрометиране на коментарна секция
– други

TimThumb aтаката представлява трудна за отстраняване, по оценка на специалистите, но сравнително лесна за експлоатиране уязвимост. Тя се осъществява през кешираните файлове, които Wordpres създава на картинки и иконки в подпапки на папката wp-content. Кеш файловете се подменят с такива с достъп до „shell“-a, след което хакерът получава пълен достъп до платформата.

За съжаление проблеми има както при безплатните, така и при платени теми. Няма гаранция, че ако сте закупили темата тя ще е защитена. Срокът за защита на платените теми все пак е много по-къс. Нашият съвет към потребителите на WordPress е да проверят, дали използват някоя от темите от публикувания списък. Заедно с това трябва да обърнете внимание на версията на темата, която използва вашият сайт. Ако темата е уязвима незабавно се свържете с Техническата поддръжка на Host.bg, за да получите помощ за идентифициране на евентуален проблем и по-важното вземете мерки за отстраняване на евентуалната уязвимост.

Списък с уязвими теми.

20khabar
acens
Aggregate
airfolio
amplus_v1.6
another
aquitaine
arras
arthemia-premium
AskIt
Aurelius
Avenue
awake
bestvariety
blacklabel
blindway_themes
bueno
busybee
Calypso
Carta
Chameleon
cinch
cityguide
classic
classifiedstheme
clockstone
count.php
dandelion_v2.6.1
DeepFocus
default
delicate
delight
directorypress
disney
dizimag
duotive-three
DynamiX
ecobiz
eGallery
ElegantEstate
elemental
eNews
envision
Envisioned
ePhoto
estate
etiquette-wp
Feather
folioway
Gallope
gazette
genoa
Glow
graphene
greatio
headlines
headlines_enhanced
hotvariety
InnovationScience2
InReview
inuitypes_free
invictus
IRAnian
Iris
Karma
Karma_planete
LeanBiz
LightBright
Linepress
listings
LondonLive
Lycus
magazinum
magnific
Magnificent
mainstream
manifesto
metrolo
Modest
modularity
monmarthe
multidesign
newcar
News
newsworld
Nova
object
obvious
ocram_1.1
parachute
pattoncommerce
photoria
Polaris Package
Polished
premiumnews
primely-theme
primely-wordpress
profitstheme
PureType
purevision
retreat
rocknpup
rockwell_v1.3
Romix
royalty
rujlu
scarlett
setinstone
Shuttershot
simplicity
snapshot
sohbettema
sportpress
suffusion
supermassive
teardrop
Telegraph
thedawn
themes.php
TheProfessional
TheSource
TheStyle
TheTravelTheme
TidalForce
transcript
twentyeleven
twentyten
u-design
urbanhip
versatile
vilisya
visitingtherapyservices
Webly
webstudio
welcome_inn
widescreen
work
wpzoom

Ако все още нямате сайт, изберете своя хостинг план и домейн име и създайте своя собствена страница с безплатния инсталационен пакет Softaculous.

Атаката от 12.04 – изводите една седмица по-късно

broken-wordpress-lock

Както в българското блог пространство вече стана известно, в началото на миналата седмица бяхме свидетели на необичайно голяма за българския интернет мрежова атака. Атаката беше насочена към логин формата на WordPress, а нейната цел – налучкване (bruteforce) на административния или други акаунти за популярната блог платформа и последващо инжектиране на зловредни скриптове. Източници на атаката бяха както обичайните: САЩ и Китай, така и множество по-рядко срещани дестинации.

Атаката, както показа направеният анализ, беше доста разнопосочна. Една голяма част от злонамерения трафик беше по UDP протокол, който се използва за DNS услугата или иначе казано за връзка между имената на сайтовете и техните машинни (IP) адреси.

От останалача част, поне половината трафик беше насочен към сайтове, които физически не се намират на сървърите на Host.bg, нито изобщо в България. Фактът, че на нашите сървъри се атакуват несъществуващи сайтове свидетелства по-скоро за грубата подготовка на тази атака. Това обаче, не я прави по-малко опасна, защото увеличеният трафик също рефлектира върху качеството на услугите.

Последната, около една трета от трафика беше насочена наистина към логин фората на WordPress главно, но също така и към други CMS-и. По информация на наши партньори в САЩ, това всъщност е основната цел на атаката. На пръв поглед изглежда доста неефективно бот-мрежа от хиляди или десетки хиляди комппютри, които вече са заразени, да бъдат използвани за хакването на доста по-малък брой CMS платформи. Крайната цел в случая обаче са финансови институции в САЩ, които вече са регистрирали и обявили масова атака от страна на хостинги от цял свят.

В момента все още продължава да е налице макар и доста по-слаб хакерски трафик от този тип. Макар и типична DDOS атака, нейната изключителна мощност в този кокретен случай се оказа едновременно с това и ахилесовата и пета. На практика, от всяка отдалечена заразена машина се правят огромен брой еднакви заявки за много къс период от време, което позволява създаването на филтриращи правила, които да ограничат нейния ефект.

Потребителите от своя страна могат да се защитят като вземат следните мерки:

– Ъпдейт на версията на WordPress и на инсталираните плъгини.
– Инсталиране на плъгин за сигурност.
– Използване на високо-защитетна парола на административния акаунт.
– Повече информация може да откриете тук.

Ето и няколко допълнителни стъпки за защита на един WordPress сайт:

– Деактивиране на DROP коамандата за DB_USER. Тази команда всъщност никога не се използва от блог платформата.
– Премахване на README и лицензните файлове, който съдържат информация за версията на платформата.
– Преместване на файла wp-config.php в „по-горна“ директория и защита с на директорията с права „400“.
– Преустановяване на достъпа на WordPress до htaccess конфигурационния файл за хостинга.
– Ограничаване на достъпа до wp-config.php файла само до определени машинни (IP) адреси.
– Ето и няколко плъгина за защита:

wp-security-scan
wordpress-firewall
ms-user-management
wp-maintenance-mode
ultimate-security-scanner
wordfence,

Още информация може да бъде намерена на този адрес.

Плъгини за WordPress отново създават пробойни в сигурността

Описание на проблема:

Множество уязвимости са oткрити в “the Simple Login Log” плъгинa за WordPress, които могат да бъдат използвани за инфилтриране на зловреден код и атаки срещу SQL.

1) Пробивът засяга системата чрез параметъра „redirect_to“ и „User-Agent“ HTTP заглавието: „WP-login.php”, което не е зададено правилно. Това позволява вмъкване на HTML и/или скрипт код, които се изпълняват в сесия на браузъра при посещение на засегнатия сайт. За да се стигне до пробив, са достатъчни няколко неуспешни опита за влизане в системата.

2) До неоторизиран достъп може да се стигне чрез „where GET” параметъра за „wp-admin/users.php” (когато страница има настройка „login_log“ и „download-login-log“, които да се изпълняват като „Верни” ) и не са правилно зададени преди да използват SQL заявка. Това може да се използава за манипулиране на заявки и инжектиране на произволен SQL код.

Уязвимостите са потвърдени във версии 0.9.3, както и в някои от предходните.

Решението е просто, направете ъпдейт до версия 0.9.4.

– – –

Уязвимост е открита и в плъгина за електронна търговия на WordPress – Shop Styling

Проблемът, който създава опасност от изтичане на информация, идва от параметатъра „dompdf” в wp-content/plugins/wp-ecommerce-shop-styling/includes/generate-pdf.php. Той се използва за включване на файлове, но не работи коректно. В резултат на това се създава възможност за включване на произволни файлове от външни източници и съответно опасност за сайта.

Уязвимостта е потвърдена във версия 1.7.2, като има опасност и за други версии на системата.

Решението: Актуализация на WordPress до версия 1.8.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Тhe Simple Login Log – DESCRIPTION:

Multiple vulnerabilities have been discovered in the Simple Login Log plugin for WordPress, which can be exploited by malicious users to conduct script insertion attacks and by malicious people to conduct script insertion and SQL injection attacks.

1) Input passed via the „redirect_to“ parameter and „User-Agent“ HTTP header to wp-login.php is not properly sanitised before being used.

This can be exploited to insert arbitrary HTML and script code, which will be executed in a user’s browser session in context of an affected site if malicious data is viewed.
Successful unauthenticated exploitation requires the „Log Failed
Attempts“ setting to be enabled (disabled by default).

2) Input passed via the „where“ GET parameter to wp-admin/users.php (when „page“ is set to „login_log“ and „download-login-log“ is set to „true“) is not properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
The vulnerabilities are confirmed in version 0.9.3. Prior versions may also be affected.

SOLUTION:
Update to version 0.9.4.

– – –

Shop Styling – DESCRIPTION:

Shop Styling plugin for WordPress, which can be exploited by malicious people to compromise a vulnerable system. Input passed to the „dompdf“ parameter in wp-content/plugins/wp-ecommerce-shop-styling/includes/generate-pdf.php is not properly verified before being used to include files. This can be exploited to include arbitrary files from remote resources.
The vulnerability is confirmed in version 1.7.2. Other versions may also be affected.

SOLUTION:

Update to version 1.8.
https://wordpress.org/extend/plugins/wp-ecommerce-shop-styling/changelog/
https://plugins.trac.wordpress.org/changeset/664069/wp-ecommerce-shop-styling

Агресивен вирус използва уязвимости в някои версии на Joomla!

Описание на проблема:

Mножество уязвимости бяха открити в една от най-разпространените системи за управление на съдържанието- Joomla!. „Дупките” могат да бъдат за извличане на информация (лични данни, пароли и т.н.).
Една от грешките е свързана с метода кодиране на търсенето. Тази уязвимост е открита във 2.5.x версиите преди 2.5.9 и в 3.0.x версиите преди 3.0.3.

Друга слабост на Joomla, която може да доведе до изтичане на информация, е породена от недефинирана променлива в кода.

Решението:

Откритите грешки могат да бъдат отстранени, ако направите ъпдейт на своята Joomla до версия 2.5.9 или 3.0.3.
В резултат на ъпдейта на версиите е възможно да се наложи да направите корекции в своя сайт, заради разминаване в MYSQL версиите на базата данни. Въпреки това, ви съветваме да направите актуализацията на версията си на Joomla, тъй-като вирусът е много агресивен и засяга все по-голям брой потребители.

DESCRIPTION:
Multiple vulnerabilities have been reported in Joomla!, which can be exploited by malicious people to disclose potentially sensitive information.

1) An error related to the method of encoding search terms can be exploited to disclose certain information.

This vulnerability is reported in the 2.5.x versions prior to 2.5.9 and in the 3.0.x versions prior to 3.0.3.

2) An error due to an undefined variable can be exploited to disclose certain information.

3) Certain coding errors can be exploited to disclose certain information.

The vulnerabilities #2 and #3 are reported in the 3.0.x versions prior to 3.0.3.

SOLUTION:
Update to version 2.5.9 or 3.0.3.

ORIGINAL ADVISORY:
https://www.joomla.org/announcements/release-news/5477-joomla-2-5-9-released.html
https://www.joomla.org/announcements/release-news/5478-joomla-3-0-3-released.html
https://developer.joomla.org/security/news/548-20130201-core-information-disclosure.html
https://developer.joomla.org/security/news/549-20130202-core-information-disclosure.html
https://developer.joomla.org/security/news/550-20130203-core-information-disclosure.html

Проблем с теми за WordPress


В търсене на лесна и бърза декорация на своя сайт блогърите наивно се доверяват на всевъзможните сайтове, които предлагат теми за WordPress. За съжаление, голяма част от безплатните теми изпълняват нещо повече от функцията да пременят вашата уеб страница.

Скритите намерения варират от директно изпращане на списъка с потребители и контактна информация на определен адрес до пускане на „шел“ – среда за изпълнение на всякакви команди на хостващата машина.

Зловредният код се намира в някой от PHP файловете на темата. Имената са различни във всяка хакната тема, но са съвсем „незабележими“ и дори очаквани. Ето някои от тях:

template-top.php, prelude.php, footer.php, comments.php, legacy.comments.php, 404.php, archive.php, top.php, functions.php, search-form.php и т. н.

Понеже това са реални файлове от някои теми наличието им няма как да сигнализира за проблем.

Нещо повече, хакерите се възползват от практиката, разработчиците на темите да кодират с Base64 файловете в които обявяват авторството си или авторските си права. Затова фактът че някой от тези файлове е изцяло Base64 кодиран все още не означава, че това е проблемният файл. След декодиране на кода обаче, лесно се установява дали това е нормален или хакерски код. Добре де, не съвсем лесно. Обикновено, след декодиране се получава нещо, което само прилича на PHP код. Причината е, че във файла присъства инструкция от типа:

$_X=base64_decode($_X);$_X=strtr($_X,’123456aouie’,’aouie123456′);$_R=ereg_replace(‘__FILE__’,“‘“.$_F.“‘“
,$_X);eval($_R);$_R=0;$_X=0;

която също е Base64 кодирана. Тя изпълнява простата, но ефективна функция да разбърква знаците от кода. След като и това препядствие е преодоляно се разбира дали кодът е предназначен да отвори врата във вашия сайт. Практиката показва, че уязвимите по-този начин сайтове са много повече от тези, от чиито уязвимости се е възползвал някой. Броят на последните обаче също е притеснителен.

Нашата препоръка?

Ако не сте навътре в нещата, похарчете между 5 и 10 $ за тема.