Vulnerabilitate zero-day a WordPress, rezolvată prin ultima actualizare la versiunea 4.7.2

2017/02/09
Popularitate 1129

Recent, compania de Securitate SUCURI a descoperit o vulnerabilitate critică în sistemul de management de conținut web (CMS - Content Management System) Wordpress.

Acest sistem este cel mai utilizat la nivel mondial pentru publicarea informațiilor în mediul online.

DESCRIERE

Cercetătorii de la SUCURI a dezvăluit recent faptul că au descoperit o vulnerabilitate severă, care poate permite unui utilizator neautentificat să modifice conținutul informațiilor publicate online via WordPress.

Dezvoltatorii proiectului WordPress au fost notificați direct de către cercetători cu privire la această vulnerabilitate și au început să lucreze la un pachet de actualizări ce urmau să rezolve problema.

Vulnerabilitatea rezidă în REST API a WordPress și poate duce la o escaladare nedorită de privilegii. Pentru apariția acesteia a fost nevoie de o serie de greșeli în sanitizarea variabilelor de tip GET din cadrul procesului de actualizare a postărilor. Astfel, pentru actualizarea unei postări este nevoie de trimiterea unei cereri de tip GET către /wp-json/wp/v2/posts/{id}, însă în cadrul funcției, pentru atribuirea către variabila ID au prioritate cererile GET/POST.

Folosindu-se de această primă omisiune, un atacator poate atribui variabilei ID o valoare alfanumerică prin trimiterea unei cereri GET către /wp-json/wp/v2/posts/{id}&id=123bla. Apoi, variabila ID este verificată prin tratarea sa ca integer: $id = (int) $request[‘id’], acest lucru ducând la eliminarea caracterelor non-numerice.

Astfel, „123bla” devine „123”, atacatorul putând modifica articolul cu id-ul respectiv, fără să-i mai fie verificate drepturile.

IMPACT

Acest lucru poate duce la apariția unor noi bug-uri (defecte) de securitate care ar putea permite unui atacator să șteargă sau să modifice conținut pe paginile unui website neactualizat. Mai mult, poate redirecta vizitatorii site-ului către exploit-uri malițioase.

Vulnerabilitatea afectează versiunile WordPress 4.7 și 4.7.1. În cazul acestor variante, REST API este activată în mod implicit. Pe de altă parte, versiunile mai vechi nu sunt afectate, chiar dacă au un plug-in REST API.

REMEDIERE

Problema de securitate a fost publicată recent, deși era cunoscută încă din ianuarie, deoarece SUCURI și WordPress au lucrat împreună la rezolvarea ei înainte de a o anunța publicului larg.

Astfel, odată cu actualizarea WordPress la varianta 4.7.2 acest bug de securitate este înlăturat. Prin urmare, echipa CERT-RO recomandă efectuarea periodică a actualizărilor oferite de sistemele CMS, iar în acest caz update-ul urgent la versiunea 4.7.2 a WordPress. Alternativ, administratorii unor astfel de website-uri ar putea activa update-ul automat, în cazul în care din varii motive nu pot intra periodic pe interfața de administrare.

Surse

https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

http://thehackernews.com/2017/02/wordpress-hack-seo.html