Слабость безопасности в популярном плагине резервного копирования WordPress UpdraftPlus ставит под угрозу более 3 миллионов веб-сайтов. Чтобы воспользоваться этой уязвимостью, злоумышленникам даже не требуется имя пользователя или пароль, что позволяет им действовать как администратор. Это может позволить им загружать и запускать вредоносные плагины, что потенциально дает им полный контроль над веб-сайтом.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Плагин резервного копирования и миграции UpdraftPlus
Как цифровой маркетолог, я всегда рекомендую UpdraftPlus. Это один из самых популярных плагинов WordPress для резервного копирования, и не зря. Мои клиенты используют его, чтобы регулярно сохранять копии своих веб-сайтов, быстро восстанавливаться, если что-то пойдет не так, и легко перемещать свои сайты к новым хостинг-провайдерам, серверам или даже просто к другому доменному имени. Это действительно упрощает управление сайтом.
Плагин активно установлен на более чем 3 миллионах веб-сайтов и поддерживает хранение резервных копий в широком спектре облачных и удаленных сервисов.
Уязвимость для неаутентифицированных злоумышленников
Эта уязвимость безопасности вызывает особое беспокойство, поскольку для работы злоумышленнику не требуется логин или учетная запись WordPress. Однако не все веб-сайты, использующие плагин UpdraftPlus, подвергаются одинаковому риску. В примечаниях к обновлению плагина указано, что затронуты сайты, использующие активный ключ Migrator или ключ UpdraftCentral.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
В предупреждении безопасности говорится, что все версии программного обеспечения до 1.26.4 уязвимы. Проблема заключается в функции UpdraftPlus_Remote_Communications_V2::wp_loaded.
Эта проблема представляет собой уязвимость безопасности, называемую уязвимостью обхода аутентификации. По сути, это позволяет злоумышленникам проникнуть в систему без входа в систему. Они могут пропустить обычные проверки безопасности для имен пользователей и паролей, предоставляя им полный административный доступ, как если бы они *вошли* в систему с действительными учетными данными.
Как работает сбой безопасности
Уязвимость связана с недостаточной проверкой формата сообщения удаленной связи.
Плагин WordPress UpdraftPlus, используемый для резервного копирования и миграции, имеет недостаток безопасности, который обеспечивает несанкционированный доступ. Затронуты все версии плагина до 1.26.4 включительно. Эта уязвимость существует в функции UpdraftPlus_Remote_Communications_V2::wp_loaded.
Проблема связана со слабой проверкой формата сообщений, полученных из других систем. Это позволяет злоумышленникам пропускать проверки безопасности и манипулировать процессом расшифровки, что в конечном итоге приводит к созданию предсказуемого ключа шифрования, который ставит под угрозу безопасность.
Это позволяет неаутентифицированным злоумышленникам подделывать произвольные команды RPC и запускать их от имени подключенного администратора, например загружать и активировать вредоносный плагин, что в конечном итоге приводит к удаленному выполнению кода».
Этот плагин проверяет подлинность команд, поступающих извне системы, перед их запуском. Однако этой проверки безопасности можно избежать, позволив злоумышленникам создавать поддельные команды, которые, как ошибочно полагает плагин, исходят от администратора. Поскольку эти поддельные команды выполняются с полными административными правами, злоумышленники могут делать то, чего им не следует делать, например, вносить изменения в систему без разрешения.
«Это связано с недостаточной проверкой формата сообщения удаленной связи, где проверку подписи можно обойти, а непроверенные возвращаемые значения расшифровки сворачиваются до предсказуемого ключа шифрования, состоящего из всех нулей».
Это означает, что у плагина есть серьезная проблема с безопасностью: если его шифрование не удается, он не блокирует данные должным образом, а вместо этого оставляет систему уязвимой.
Удаленное выполнение кода
В данном случае под удаленным выполнением кода понимается способность хакера заставить сервер веб-сайта запускать вредоносный код из Интернета.
Эта уязвимость позволяет злоумышленнику, не прошедшему аутентификацию, обойти аутентификацию и подделать удаленные команды, которые выполняются от имени подключенного администратора.
Это означает, что злоумышленник может отправить команду для загрузки и активации вредоносного плагина WordPress, по сути создавая бэкдор на сайте.
После установки и активации вредоносного плагина сервер может выполнить код внутри этого плагина. Это может позволить совершать такие действия, как кража данных, добавление вредоносного ПО, изменение файлов сайта или получение контроля над установкой WordPress.
Как человек, который потратил годы на обеспечение безопасности веб-сайтов, позвольте мне сказать вам, что удаленное выполнение кода (RCE) — это кошмарный сценарий. Если злоумышленник обходит аутентификацию *и* достигает RCE, речь идет не только о проникновении, но и о полном контроле. По сути, они могут захватить весь сайт. Это означает, что они могут установить вредоносное ПО, полностью изменить то, что видят посетители (порча), получить доступ к учетным записям администратора, которых у них не должно быть, украсть конфиденциальные данные, такие как информация о клиентах, или даже использовать ваш сайт для запуска атак на *другие* веб-сайты. Это полномасштабный компромисс, и предотвращение RCE всегда является главным приоритетом.
В предупреждении подчеркивается, что злоумышленники могут загружать и включать вредоносные плагины, что делает такой сценарий вероятным.
Доказательства активных атак
За один день Wordfence пресек более 8000 попыток воспользоваться этой уязвимостью безопасности.
Хотя активность атак сама по себе не указывает на то, сколько сайтов было успешно скомпрометировано, она показывает, что злоумышленники активно пытаются воспользоваться уязвимостью.
Доступен патч
UpdraftPlus предоставил пользователям возможность обновить свои установки и защитить свои веб-сайты.
В журнале изменений плагина для версии 1.26.5 проблема описана следующим образом:
В более ранних версиях этого программного обеспечения была уязвимость безопасности, которая могла позволить несанкционированное изменение веб-сайтов с использованием определенных ключей. Это затронуло сайты с активными ключами Migrator (для платных пользователей) или ключами UpdraftCentral (как для бесплатных, так и для платных пользователей). Мы настоятельно рекомендуем всем пользователям немедленно обновиться до последней версии.
Если вы используете плагин резервного копирования WordPress UpdraftPlus, немедленно обновите его до версии 1.26.5 или новее.
Смотрите также
- Google тестирует цвета фона фрагмента поиска при наведении
- Как разработать политику в отношении социальных сетей
- Задержка Отчетов в Реальном Времени Google Аналитики Снова
- Реклама местных услуг Google для налоговых специалистов снижает автокредиты и функции
- Обновление Google о спаме, декабрь 2024 г. Жесткое деиндексирование и понижение рейтинга некоторых сайтов
- e-pick: Ваши заветные карты ждут! 🎉
- Какой самый низкий курс юаня к рублю?
- Больше сайтов блокируют обход LLM – Может ли это обернуться против GEO?
- Рецепты поиска в Bing Обманывают издателей?
- Google Product Studio распространяется и в других странах
2026-06-11 13:40