Эксперты показали, как украсть интернет-магазин на WordPress

Исследователи из компании RIPS Technologies обнаружили сочетание уязвимостей, позволяющее перехватить контроль над сайтами на базе WordPress.

Одна брешь содержится в системе управления пользовательскими ролями, вторая — в плагине для интернет-магазинов, установленном на 4 млн площадок.

Сторонние компоненты WordPress-сайтов используют для разграничения прав доступа не собственные системы аутентификации, а нативные инструменты CMS. Это позволяет администраторам централизованно контролировать привилегии всех плагинов. При установке расширение получает набор полномочий в соответствии со своими функциями, после чего владелец сайта может определять, какими правами будет обладать каждая группа пользователей.

Как выяснили эксперты, в плагине для электронных магазинов WooCommerce были некорректно прописаны возможности главной роли — Shop Manager. Пользователь с такими правами мог редактировать статус любой другой учетной записи, включая аккаунт администратора. Чтобы ограничить применение этой опции, разработчики предусмотрели специальную функцию, однако ее работе мешает вторая уязвимость, которая на этот раз содержится в самой системе WordPress.

Ограничение в WooCommerce перестает работать, если администратор отключил или удалил плагин. Эксперты удалили сам файл расширения, но учетная запись со статусом Shop Manager осталась на сайте и могла беспрепятственно менять права других пользователей.

Для применения уязвимости злоумышленнику нужно предварительно получить доступ к аккаунту со статусом Shop Manager. Сделать это можно через *межсайтовый скриптинг или фишинговую атаку.

Эксперты подчеркивают, что брешь, использованная для отключения плагина, не является критической и сама по себе не влечет угон сайта. Тем не менее, сбой системы аутентификации значительно увеличивает ее уязвимость — именно это и нужно учитывать владельцам онлайн-ресурсов.

Исследователи сообщили о проблеме разработчикам WooCommerce, которые устранили ошибку в роли Shop Manager. Всем администраторам, которые используют этот плагин, необходимо установить версию 3.4.6. Эксперты также рекомендуют включить функцию автоматического обновления в панели управления WordPress. По словам разработчиков, после внедрения этой опции доля сайтов с актуальной CMS достигла 96%.



*Межсайтовый скриптинг (XSS)

Вид атаки, при которой в страницу сайта внедряется вредоносный код. При открытии страницы пользователем, код выполняется на его компьютере и устанавливает соединение с веб-сервером злоумышленника, который таким образом получает контроль над системой.

XSS-уязвимости бывают двух видов: активная и пассивная. При активной уязвимости код внедряется на уровне базы (или в виде файла на сервере). Тогда жертвами становятся все посетители сайта. При пассивной уязвимости код встраивается в определенную страницу, на которую пользователь привлекается, к примеру, с помощью фишинга.

Источник: threatpost.ru

Комментарии:

Добавить комментарий