En kritisk sårbarhed i et WordPress-plugin med mere end 90.000 installationer kan lade angribere opnå fjernkodeudførelse for at fuldt ud kompromittere sårbare websteder. Mange danskere bruger denne backup mulighed, men der skal man altså opdatere hurtigst muligt da denne fejl udnyttes aktivt nu.
Backup Migration, som pluginnet hedder, hjælper administratorer med at automatisere sikkerhedskopiering af websteder til lokal lagring eller en Google Drive-konto.
Sikkerhedsfejlen (sporet som CVE-2023-6553 og vurderet med en alvorlighedsscore på 9,8/10) blev opdaget af et team af bugjægere kendt som Nex Team, der rapporterede det til WordPress-sikkerhedsfirmaet Wordfence under et nyligt lanceret bug bounty-program.
Den påvirker alle plugin-versioner op til og inklusive Backup Migration 1.3.6, og ondsindede aktører kan udnytte den i lavkompleksitetsangreb uden brugerinteraktion.
CVE-2023-6553
CVE-2023-6553 giver uautentificerede angribere mulighed for at overtage målrettede websteder ved at opnå fjernkodeudførelse gennem PHP-kodeinjektion via /includes/backup-heart.php-filen.
“Dette skyldes, at en angriber kan kontrollere de værdier, der sendes til et inkluder, og efterfølgende udnytte det til at opnå fjernkodeudførelse. Dette gør det muligt for uautentificerede trusselsaktører nemt at udføre kode på serveren,”
sagde Wordfence mandag.
“Ved at indsende en specielt udformet anmodning kan trusselsaktører udnytte dette problem til at inkludere vilkårlig, ondsindet PHP-kode og udføre vilkårlige kommandoer på den underliggende server i sikkerhedskonteksten for WordPress-instansen.”
I /includes/backup-heart.php-filen, der bruges af Backup Migration-pluginnet, forsøges det at inkludere bypasser.php fra BMI_INCLUDES-mappen (defineret ved at flette BMI_ROOT_DIR med strengen inkluderer) på linje 118.
BMI_ROOT_DIR er dog defineret gennem HTTP-headeren content-dir, der findes på linje 62, hvilket gør BMI_ROOT_DIR underlagt brugerkontrol.
Sårbar kode i Backup Migration (Wordfence)
Patch frigivet inden for timer
Wordfence rapporterede den kritiske sikkerhedsfejl til BackupBlis.
Vi anbefaler at man skifter til et andet backupprogram straks og sletter hele pluginnet, efter deaktivering.
Kilde: Icare Security A/S, Wordfence
Fotokredit: Icare AI