WordPressin suositusta lisäosasta löytyi vakava nollapäivähaavoittuvuus - koskettaa yli 700 000 verkkosivua
Suomalainen WordPress-sivustojen ylläpitäjä Seravo Oy löysi WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta nollapäivähaavoittuvuuden. Aukkoon on julkaistu paikkaava päivitys, joka on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.
Haavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Seravon mukaan hyökkääjä pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.
"Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna", Seravon toimitusjohtaja Otto Kekäläinen kertoo.
"Rikolliset yrittävät hyödyntää tätä aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon hyödyntämällä löydettyä aukkoa", hän sanoo.
Kyseinen lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmalla ja se on yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.
Seravon mukaan kuitenkin keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut aukon korvaavan päivityksen. WordPressin tilastojen mukaan päivityksen on asentanut alle kymmenen prosenttia käyttäjistä.
Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon.
Lisätietoa haavoittuvuudesta saa täältä.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT