admin 
„WordPress Security Company“ „Patchstack“ paskelbė patarimą apie rimtą gravitacijos formų pažeidžiamumą, kurį sukelia tiekimo grandinės ataka. Gravitacijos formos iš karto atsakė ir išleido atnaujinimą, kad išspręstų problemą.
Tiekimo grandinės ataka
„PatchStack“ stebėjo „WordPress“ papildinio ataką, kurioje užpuolikai įkėlė užkrėstą papildinio versiją tiesiai į leidėjo saugyklą ir iš domeno pavadinimo, panašaus į oficialų domeną, gavo kitus failus. Tai, savo ruožtu, sukėlė rimtą kompromisą svetainėms, kuriose buvo naudojamas tas papildinys.
Panašus ataka buvo pastebėta gravitacijos formose ir ją iškart išsprendė leidėjas. Užpuolikai į gravitacijos formas (ypač gravitacijos/common.php) įšvirkščiamas į kenkėjišką kodą. Kodas paskatino įskiepį įdiegti „HTTP Post“ užklausas „Rogue Domain Gravityapi.org“, kuris buvo užregistruotas likus kelioms dienoms iki išpuolio ir kontroliuojamas užpuoliko.
Pažeistas papildinys išsiuntė išsamią svetainės ir serverio informaciją į užpuoliko serverį ir įjungė nuotolinio kodo vykdymą užkrėstose svetainėse. Atsižvelgiant į „WordPress“ papildinį, nuotolinio kodo vykdymo (RCE) pažeidžiamumas atsiranda tada, kai užpuolikas gali paleisti kenksmingą kodą tikslinėje svetainėje iš nuotolinės vietos.
„Patchstack“ paaiškino pažeidžiamumo mastą:
„… tai gali atlikti kelis procesus:
- Įkelkite savavališką failą į serverį.
- Išvardykite visas „WordPress“ svetainės vartotojo abonementus (ID, vartotojo vardas, el. Paštas, rodymo pavadinimas).
- Ištrinkite bet kurias vartotojo abonementus „WordPress“ svetainėje.
- Atlikite savavališkus failų ir katalogų sąrašus „WordPress“ serveryje. “
Paskutinis tai reiškia, kad užpuolikas gali peržiūrėti bet kurį failą, nepriklausomai nuo leidimų, į kuriuos būtų įtrauktas wp-config.php failas, kuriame yra duomenų bazės kredencialai.
Reaguoja sunkio formos
„RocketGenius“, „Gravitacijos formų“ leidėjai, tą pačią dieną iškart ėmėsi veiksmų ir iškart įkėlė fiksuotą papildinio versiją. Domeno vardų registratorius Namecheap'as sustabdė nesąžiningą rašybos domeną, kuris veiksmingai užblokavo bet kokias pažeistas svetaines susisiekti su užpuolikais.
„Gravity Forms“ išleido papildinio atnaujinimą, 2.9.13 versiją. Vartotojai gali norėti apsvarstyti galimybę atnaujinti naujausią versiją.
Skaitykite daugiau „PatchStack“:
Kenkėjiškos programinės įrangos, rastos oficialiose gravitacijos formų papildinyje, nurodant tiekimo grandinės pažeidimą
Pateiktas „Shutterstock“/„Warm_tail“ vaizdas
