Egy űrlap is elég lehet a teljes oldalátvételhez: kritikus WordPress-hibát használnak ki a támadók

Egy űrlap is elég lehet a teljes oldalátvételhez: kritikus WordPress-hibát használnak ki a támadók

A WordPress-oldalak egyik legnagyobb előnye, hogy rengeteg bővítménnyel lehet őket bővíteni. Kapcsolati űrlap, ajánlatkérő, regisztrációs mező, fizetési űrlap, kalkulátor – néhány kattintással szinte bármi beépíthető. Ugyanez viszont a rendszer egyik legnagyobb gyenge pontja is lehet: ha egy népszerű bővítmény hibás, az nem egyetlen oldalt, hanem akár több ezer webhelyet is veszélybe sodorhat.

Most pontosan ilyen esetről van szó. Az Everest Forms Pro nevű WordPress-bővítményben kritikus biztonsági hibát azonosítottak, amelyet a támadók már aktívan kihasználnak. A sebezhetőség az 1.9.12-es és korábbi verziókat érinti, és a javítás az 1.9.13-as verzióban érkezett meg. A Wordfence szerint a hiba súlyossága 9.8/10, vagyis gyakorlatilag a legveszélyesebb kategóriába tartozik.

Miért veszélyes ez?

A hiba lényege, hogy bizonyos űrlapmezőkön keresztül a támadó rosszindulatú kódot juttathat a rendszerbe. Ez azért különösen súlyos, mert a támadáshoz nem feltétlenül kell bejelentkezett felhasználónak lennie. Magyarul: nem arról van szó, hogy valaki megszerzi egy szerkesztő vagy admin jelszavát, hanem arról, hogy egy rosszul kezelt űrlapmezőn keresztül is elindulhat a támadás.

A probléma az Everest Forms Pro egyik kalkulációs funkciójához kapcsolódik. Az ilyen mezőket például árkalkulátoroknál, ajánlatkérőknél vagy összetettebb űrlapoknál használhatják. Ha a weboldalon futó űrlap érintett módon kezeli a beküldött adatokat, akkor a támadó akár PHP-kódot is futtathat a szerveren. Ez már nem egyszerű spam vagy botforgalom, hanem olyan szintű hozzáférés, amelyből teljes oldalátvétel is lehet.

Adminfiókot is létrehozhatnak

A biztonsági kutatók szerint a támadók a hibát többek között arra használják, hogy jogosulatlan adminisztrátori fiókot hozzanak létre az érintett WordPress-oldalakon. Ez azért különösen veszélyes, mert egy adminfiókkal már szinte bármit meg lehet tenni: cikkeket módosítani, bővítményeket telepíteni, fájlokat feltölteni, átirányításokat beállítani, adatbázishoz hozzáférni, vagy akár rejtett hátsó ajtót hagyni a rendszerben.

A Wordfence adatai alapján a támadási kísérletek már áprilisban megjelentek, és eddig több tízezer próbálkozást blokkoltak. A BleepingComputer beszámolója szerint az aktív kihasználás során a támadók konkrét adminfiókok létrehozásával próbálkoztak, vagyis ez már nem elméleti veszély, hanem folyamatban lévő támadási hullám.

Kit érinthet a hiba?

Fontos különbséget tenni az Everest Forms és az Everest Forms Pro között. A mostani hiba a Pro, vagyis fizetős kiegészítőt érinti. Ez a bővítmény űrlapok, regisztrációs felületek, fizetési űrlapok és egyedi adatbekérő megoldások készítésére szolgál. A becslések szerint körülbelül 4000 aktív telepítésről lehet szó, ami elsőre nem tűnik hatalmas számnak, de egy ilyen sebezhetőségnél bőven elég ahhoz, hogy a támadók automatizáltan végigpásztázzák az internetet.

A magyar weboldal-tulajdonosok számára ez azért tanulságos, mert rengeteg hazai kisvállalkozói, céges és webshopos oldal fut WordPressen. Sok helyen a bővítményeket egyszer beállítják, aztán hónapokig vagy akár évekig nem frissítik őket. Pedig egy elavult plugin néha nagyobb kockázatot jelent, mint maga a WordPress alaprendszer.

Mit érdemes most ellenőrizni?

Aki WordPress-oldalt üzemeltet, annak első lépésként érdemes megnéznie, hogy használ-e Everest Forms Pro bővítményt. Ha igen, akkor azonnal ellenőrizni kell a verziószámot. Az 1.9.12-es vagy régebbi verzió érintett, ezért frissíteni kell az 1.9.13-as vagy újabb kiadásra.

Emellett nem árt átnézni az adminisztrátori felhasználókat sem. Ha ismeretlen adminfiók jelent meg az oldalon, az már komoly figyelmeztető jel lehet. Ilyenkor nem elég csak törölni a gyanús felhasználót, mert elképzelhető, hogy a támadó már más módon is hozzáférést szerzett. Érdemes ellenőrizni a frissen módosított fájlokat, a telepített bővítményeket, a sablonfájlokat, valamint a szervernaplókat is.

A biztonsági szakértők azt is javasolják, hogy a weboldal-tulajdonosok használjanak megbízható tűzfalat, korlátozzák az adminfelület hozzáférését, és rendszeresen készítsenek mentést. Egy jó mentés ilyenkor nem kényelmi extra, hanem az egyetlen gyors visszaállítási lehetőség lehet.

A nagy tanulság: a plugin is lehet támadási kapu

Ez az eset jól mutatja, hogy egy WordPress-oldal biztonsága nem csak azon múlik, hogy maga a WordPress naprakész-e. Legalább ilyen fontosak a bővítmények, a sablonok, a feltöltött fájlok és az adminjogosultságok is. Egyetlen sebezhető plugin elég lehet ahhoz, hogy egy egyébként működő, látogatott weboldal támadók kezébe kerüljön.

A legnagyobb baj, hogy sok oldalüzemeltető csak akkor foglalkozik a biztonsággal, amikor már megtörtént a baj: eltűnnek a cikkek, furcsa reklámok jelennek meg, átirányít az oldal, vagy a Google veszélyes webhelyként kezdi jelölni a domaint. Ilyenkor a helyreállítás már sokkal nehezebb, mint egy időben elvégzett frissítés lett volna.

A mostani Everest Forms Pro-hiba ezért nem csak egy újabb biztonsági hír. Inkább figyelmeztetés minden WordPress-oldal tulajdonosának: a bővítményeket nem elég telepíteni, karban is kell tartani őket.