Krytyczna luka w zabezpieczeniach wtyczki WordPress naraża co najmniej milion witryn
Na wstępie uspokajamy, problem nie dotyczy WordPressa jako takiego, lecz popularnej wtyczki LayerSlider. Poniżej szczegóły.
Jak informuje firma Marken Systemy Antywirusowe, Badacz cyberbezpieczeństwa AmrAwad odkrył niedawno krytyczną lukę w LayerSlider, wysokiej jakości wtyczce WordPress, z której korzysta ponad 1 milion stron internetowych. Luka naraża zainfekowane witryny internetowe na nieuwierzytelnione ataki polegające na wstrzykiwaniu kodu SQL, umożliwiając potencjalnym atakującym kradzież istotnych danych. LayerSlider, podatna na ataki wtyczka, to popularne narzędzie, które pozwala właścicielom witryn tworzyć galerie obrazów, animacje i responsywne suwaki.
Śledzona jako CVE-2024-2879, luka w zabezpieczeniach polegająca na wstrzykiwaniu SQL, która uzyskała wynik CVSS na poziomie 9,8 i jest oznaczona jako krytyczna, dotyczy wersji wtyczek od 7.9.11 do 7.10.0. Błąd ten został odkryty przez badacza AmrAwada 25 marca 2024 roku i przesłany do programu nagród za błędy firmy Wordfence zajmującej się bezpieczeństwem WordPress.
Jak czytamy w opisie wady, słabym punktem jest działanie wtyczki ls_get_popup_markup „z powodu niewystarczającej ucieczki od parametru dostarczonego przez użytkownika i braku wystarczającego przygotowania istniejącego zapytania SQL”.
Ta luka we wtyczce WordPress może pozwolić atakującym na dołączenie dodatkowych zapytań SQL do istniejących, co umożliwia im potencjalnie kradzież danych, w tym poufnych informacji o użytkowniku i skrótów haseł. Co gorsza, ugrupowania cyberbprzestępcze mogą przeprowadzać te ataki bez uwierzytelniania na podatnych witrynach internetowych.
Po ataku polegającym na wstrzykiwaniu kodu SQL wyodrębnione dane mogą umożliwić atakującym złamanie poufnych informacji i przejęcie pełnej kontroli nad zaatakowaną witryną internetową. Całkowite przejęcie zainfekowanych witryn internetowych może poważnie wpłynąć na odwiedzających, którzy prawdopodobnie nie będą świadomi przejęcia kontroli przez złośliwy podmiot.
Po niezwłocznym powiadomieniu o problemie twórca wtyczki, Kreatura Team, w niecałe 48 godzin opublikował aktualizację zabezpieczeń. Mankament został załatany w wersji 7.10.1 wtyczki LayerSlider; użytkownikom zaleca się aktualizację do najnowszej wersji, aby uniknąć ataków polegających na wstrzykiwaniu SQL, których celem są podatne na ataki wersje wtyczki.
„W przypadku ujawnienia luki we wtyczce WordPress kluczowe jest jak najszybsze zainstalowanie łatki. Jeśli tego nie zrobimy, cyberprzestępcy mogą wykorzystać tę sytuację, rozsyłając niczego niepodejrzewającym odwiedzającym treści zawierające złośliwe oprogramowanie, potajemnie zbierając ich dane, prowadząc ich do formularzy phishingowych lub przekierowując do innych złośliwych miejsc docelowych” – mówi Dariusz Woźniak z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
