Найдена уязвимость в WordPress, позволяющая нарушить работу сайтов

Инженер-исследователь проблем безопасности компании Secarma Сэм Томас (Sam Thomas) выступил с докладом на конференции BSides, где рассказал об уязвимости WordPress. Её обнаружили в феврале 2017 года, и дальнейшее игнорирование проблемы может привести к сбоям в работе многочисленных сайтов, использующих эту CMS.

Суть проблемы

Сэм объяснил, как злоумышленники могут навредить ресурсу. Разрешение на добавление изображений позволяет им загрузить иконку и инициировать обработку файла через распаковщик архивов phar://. В свою очередь, эксплойт осуществит атаку XXE (XML External Entity) и вызовет ошибки SSRF (Server Side Request Forgery). Всё это приведёт к десериализации кода. Несмотря на то что из-за ошибок произойдёт незначительная утечка информации, их можно использовать для проведения более серьёзных атак. Десериализация происходит в момент, когда переменные конвертируются для PHP. При включённой автозагрузке выполнение кода нарушит работу PHP-фреймворков.

Расположение

По заявлению представителей компании Secarma, уязвимость WordPress на данный момент не получила номер в CVE. Она находится в функции wp_get_attachment_thumb_file файла /wpincludes/post.php. Как только злоумышленники получают доступ к параметрам вызова функции file_exists, проявляется баг.

К сожалению, эта уязвимость WordPress далеко не единственная. В конце мая 2018 года авторы плагина Wordfence обнаружили новый способ установки бэкдоров на WordPress. Несмотря на сложность метода, хакерам удалось провести несколько атак до выявления уязвимости. Затем в начале июня 2018 года исследователи Defiant опубликовали отчёт о малвари «Баба Яга». Она атаковала сайты на WordPress, внедряла на страницы SEO-трафик и перенаправляла пользователей на торговые площадки. И уже в конце июня 2018 года сотрудники компании RIPS сообщили об уязвимости WordPress, позволяющей загружать в систему вредоносный код и удалять критически важные файлы. Для решения этой проблемы разработчики RIPS выпустили хотфикс.