WordPress sårbarheder rammer ca. 1 milliard websteder

Ifølge W3 findes der 1,3 milliarder Wordpres installationer og WordPress bruges af 65,3% af alle de CMS websteder der kendes. Dette er omregnet 43,2% af alle hjemmesider i verden. Derfor kommer det også som en overraskelse af det er i selve WordPress kernen at Whitehack hackere også kaldet sikkerhedsforskere har fundet sårbarheder.

WordPress sikkerhedshuller og hacking af disse

Efter en lille analyse af problemerne kan vi sige, at disse 4 sårbarheder må have været tilstede startende fra introduktionen af version 3.7.

WordPress annoncerede sårbarheder på et højt trusselsniveau, der blev introduceret af selve kerneudviklingsteamet

De har lappet fire sårbarheder, der er vurderet så højt som 8 på en skala fra 1 til 10. Sårbarhederne er i WordPress kernen selv og skyldes fejl indført af WordPress udviklingsteamet selv.

Men den amerikanske regering National Vulnerability Database, hvor sårbarheder er logget og offentliggjort bedømt sårbarheder så højt som 8,0 på en skala fra 1 til 10, med ti repræsenterer den højeste fare niveau. De fire sårbarheder er:

  1. SQL-injektion på grund af manglende datarensning i WP_Meta_Query (sværhedsgraden bedømt højt, 7,4)
  2. Godkendt objektinjektion på flere itterationer (sværhedsgradsniveau klassificeret med middel 6,6)
  3. XSS (Stored Cross Site Scripting) via godkendte brugere (sværhedsgradsniveau, der er klassificeret højt, 8,0)
  4. SQL-injektion gennem WP_Query på grund af forkert parametre (sværhedsgradsniveau, der er klassificeret højt, 8.0)

Tre ud af fire af sårbarhederne blev opdaget af sikkerhedseksperter uden for WordPress. WordPress havde ingen idé om dette, før de blev underrettet. Sårbarhederne blev privat videregivet til WordPress, som tillod WordPress at løse problemerne, før de blev almindeligt kendt.

Det er denne adfærd som kendetegner en Whitehack Hackere, heldigvis fordi en aktiv udnyttelse som allerede nu er under produktion vil nå millioner på stort set samme tid, da man nemt kan scanne for hvilke servere eller domæner der benytter WordPress. og der findes såmænd allerede flere hundrede lister med dette på Darkweb.

Vore egne WordPress installationer på servere kan dog ikke nås da de indeholder mellemlaget til den omtalte database og fordi vi ikke benytter standardsplaceringer for login, omdirigering af standardporte og forhindrer Cross Site Scripting, siden denne sårbarhed først blev konstatteret.

Bekymring om at WordPress udviklingen går for hurtigt

WordPress udviklingen blev bremset i 2021, fordi de ikke var i stand til at afslutte arbejdet på den seneste udgivelse, 5.9. Derfor blev denne version skubbet frem til senere i 2022.

Der har været tale i WordPress om at bremse tempoet i udviklingen på grund af bekymring for evnen til at følge med.

WordPress-kerneudviklerne slog selv alarm i slutningen af 2021 om udviklingstempoet og bad om mere tid.

En af udviklerne advarede dog også selv dengang med ordene:

“Samlet set ser det ud som lige nu, ar vi lancerer tingene hurtigt og dermed på en farlig måde.”

I betragtning af hvordan WordPress ikke kan holde sig til sin egen udgivelsesplan og diskuterer skalering tilbage deres 2022-udgivelseskalender fra fire udgivelser til tre, skal man sætte spørgsmålstegn ved tempoet i WordPress-udviklingen, og om der skal gøres en større indsats for at sikre, at sårbarheder ikke utilsigtet frigives til offentligheden. I særdeleshed fordi WordPress er verdens mest anvendte CMS system.

Problemer med datafiltrering i WordPress

Datarensning er en måde at kontrollere, hvilken slags information der kommer gennem input og ind i databasen. Databasen er, hvad der indeholder oplysninger om webstedet, herunder adgangskoder, brugernavne, brugeroplysninger, indhold og andre oplysninger, der er nødvendige for, at webstedet kan fungere. Adgang til databasen giver Fuld adgang til en hel WordPress installation og alt kan ændres. F.eks. kan backup også slettes for mange f.eks. UPDRAFT installationer. Det er her at man skal bruge segmentering, således at backup styring IKKE sker fra WordPress som man kan miste adgangen til HVIS man angribes med et af de angivne sikkerhedshuller.

“Saneringsrevision er processen med at rense eller filtrere dine inputdata. Uanset om dataene er fra en bruger eller en API eller webtjeneste, bruger du sanering, når du ikke ved, hvad du kan forvente, eller du ikke vil være streng med datavalidering.”

Når vi ser på selve manualerne til WordPress så beskriveer WordPress indgående har nogle hjælperfunktioner til at beskytte mod ondsindede input, og at brugen af disse hjælperfunktioner kræver minimal indsats. Den almindelige bruger behøver ikke at gøre noget.

Har du derudover installeret sikkerhed med Firewall i din WordPress?

Hvis man imidlertid vil have en sikker WordPress installation skal kan man benytte WordPress Segmenteringspakke SIKKER1 som en container pakke der sikrer din WordPress installation med

Det gælder både for dem som har webhoeller og egen webservere. Og det er i særdeleshed:

  • Firewall med filtrering og re-routing af mapper, porte, funktioner og databasekald.
  • På den måde kan man sikre sig mod f.eks. XSS, DDOS, BruteForce, WP_Query injektioner, Meta_Query injektioner
  • Adskillede af brugere der vedligeholder
  • Navneændringer af alle brugere f.eks. ADMIN til 16 cifret kode der kun kan ændres (brugerdatabasen) fra backend
  • Routing for mappe placeringer f.eks. /wp-admin, wp-content m.v.
  • Alarmer ved adgang til mapper der ikke skal have adgang f.eks. root
  • Fjernelse af SSH, FTP, TELNET, 3. parts web admin værktøjer m.v. Fjernelse af webserver for selve serveren på både IIS, Linux og Unix og nu også Chromium.
  •  

WordPress standard sikkerheden er nu ikke helt dum, især ved sammenligning med enhver anden CMS system. Det er fordi at WordPress allerede har implementeret 16 former for input sårbarheder og enhver aktiv WordPress installation har allerede disse slået til som standard. Hvis nogen forsøger at udnytte disse vil WordPress automatisk blokere dem, uden at løsninger i øvrigt kan sammenlignes med en WordPress.

Så meget mere er det derfor overraskende, at input sanering kan vise sig i selve kernen af WordPress selv.

Der var to sårbarheder på højt niveau relateret til forkert håndtering af strenge og variabel begrænsninger:

  • WordPress: SQL-injektion på grund af forkert håndtering i forhold til WP_Meta_QueryDue til manglende korrekt håndtering er der i hvert fald potentiale for blind SQL Injection
  • WordPress: SQL Injektion gennem WP_QueryDue til ukorrekt håndtering i WP_Query, kan der være tilfælde, hvor SQL-injektion er mulig gennem plugins eller temaer, der bruger det på en bestemt måde. Her behøves ikke kvalificeret gæt eller bruteforce på variableer.

De andre sårbarheder er:

  • WordPress: Godkendt objektindsprøjtning i multisites, altså et klokkeklart sikkerhedshul i den måde hvorpå man samlet kan håndtere flere sites på samme WordPress installation.
  • Man kan nemlig med et multisite se at brugere med super admin-rollen omgå eksplicit/yderligere hærdning under visse betingelser gennem objektinjektion. De fleste WordPress brugere kender Multisite som en variabel der kan slås til i selve konfigfilen til WordPress, nemlig Multiside = TRUE og alle med adgang til FTP servere, admin hos Internet Webhoteludbydere kan uden besvær ændre false til true.
  • WordPress: Lagret XSS gennem godkendte brugere for lav privilegerede godkendte brugere og bidragsydere som f.eks. kan være abonnement eller forfatter eller alt under administrator bruger) i WordPress-kernen. Dermed kan vi være i stand til at udføre JavaScript og dermed udføre lagret XSS-angreb, hvilket kan påvirke brugere med højt privilegerede brugeres adgangsprivilegier.

WordPress anbefaler opdatering med det samme og man kan udføre en simpel penetrationstest

Fordi sårbarhederne nu kan udnyttes af enhver er det vigtigt, at WordPress brugere sørger for deres WordPress installation er opdateret til den nyeste version, i øjeblikket 5.8.3. Den bebudede version 5.9, forventes at blive yderligere forsinket, er vor vurdering, netop på grund af ovenstående.

WordPress råder til at man uden ophør opdaterer alle Worpdress installationer med det samme.

Anderkendelse af sikkerhedsforkere / Whitehat hackere:

  1. SonarSource (Karim El Ouerghemmi og Simon Scannell fra) til at afsløre et problem med lagret XSS via post snegle.
  2. SonarSource (Simon Scannell fra) til at rapportere et problem med objektinjektion i nogle multisite-installationer.
  3. GiaoHangTietKiem JSC (Ngocnb og khuyenn fra) for at arbejde med Trend Micro Zero Day Initiative om rapportering af en SQL-injektion sårbarhed i WP_Query.
  4. WordPress.org (Ben Bidner fra fra sikkerhedsteamet) for rapportering af en SQL injektion sårbarhed i WP_Meta_Query (kun relevant for version 4.1-5.8). Resten er fra og med Wordpres version 3.7

Kilde: icare.dk og wordpress.org
Fotokredit: wordpress.org

Scroll til toppen