חולשת אבטחה קריטית אותרה בכל גרסאות וורדפרס 5.0.1 ומטה

חוקרי אבטחה מחברת RIPS Technologies GmbH איתרו חולשת אבטחה קריטית בכל גרסאות וורדפרס מגירסא 5.0.1 ומטה (כולל). על פי הדו"ח שהוצג ע"י חברת RIPS, ייתכן כי מדובר בפרצה בת 6 שנים שאותרה רק עכשיו, חשוב לציין שמדובר בפרצה מאוד מסוכנת המאפשרת לבצע הרצה של קוד PHP על גבי השרת המארח, ובכך בעצם לאפשר לתוקפים להגיע לכל רחבי האתר, מסד נתונים וקבצים.

תוקף אשר מקבל גישה לחשבון עם הרשאות "מחבר" Author ומעלה, יכול לבצע את המתקפה ולבצע הרצה של סקריפטים חיצוניים תוך כדי שימוש בשיטת תקיפה מסוג RCE או לחילופין בשיטת LFI, בפועל למי שמתקשה להבין במה מדובר, בשפה פשוטה יותר, התוקף יכול לכתוב סקריפט שיבצע פעולות שונות שהתוקף מעוניין לבצע על האתר (מחיקה, הורדה של מסד הנתונים, שליחת ספאמים ועוד…).

סרטון הדגמה:

מקור: RIPS Tech

 

כפי שניתן לראות בסרטון, תוך מספר שניות התוקף הצליח לבצע כניסה אל מערכת הניהול של האתר, לצפות בקבצים, ומשם היד עוד נטוייה.

 

ניתן לראות בסרטון הבא למעשה את אופן התקיפה:

 

מה עליי לעשות?

  1. יש לבצע עדכונים שוטפים לוורדפרס ולכל תוספי האתר.
  2. מומלץ לשלב אימות דו שלבי במערכת ההרשמה.
  3. יש לשקול שימוש ב-reCaptcha בדפי התחברות והרשמה.
  4. לדאוג לעדכן את התבניות התוספים לגרסאות החדשות ביותר.
  5. לא להשתמש בתוספים \ תבניות פרוצות (הם מראש מכילות חורי פרצה -> אותם תוקפים מקבלים את הכתובת של האתר שלכם ברגע שאתם מתקינים אחד כזה).
  6. יש להשתמש בסיסמאות חזקות (אותיות, מספרים, סימנים, אולי אפילו משפט קצר )
  7. מומלץ לברר עם חברת האחסון האם השרת המאחסן אתכם מכיל שירות WAF (שירות המסנן בקשות זדוניות וחוסם את התוקף להשתמש בבקשות מסוכנות).
  8. לגבות לגבות לגבות -> כל הזמן לגבות – זה נושא חשוב מאוד שהרבה אנשים לא מייחסים אליו חשיבות, ורק כאשר קורה משהו הם נזכרים שהם לא בחרו לגבות.. מדובר באתר שלכם ובמידע שלכם, דעו לשמור אותו בצורה טובה!

 

רוצים לקרוא את הכתבה המלאה? -> לחצו כאן למעבר למקור.

 

אם עזרתי לכם והפוסט שלי היה חיוני עבורכם, אשמח לקבל תגובה בפוסט זה 🙂

 

אם עזרתי לך, דרג את הפוסט 🙂

לחץ על הכוכב שאיתו תרצה לדרג את הפוסט שלנו

דירוג ממוצע / 5. הצביעו עד כה:

אנו מצטערים שהפוסט הזה אינו שימושי עבורך 🙁

תן לנו לשפר בשבילך את הפוסט!

Snir Sofer
Snir Sofer

שמי שניר, עוסק באבטחת מידע ובעולם הלינוקס. חיי את עולם ה-IT, אוהב מאוד לתכנת ולפתח :)

No Comments

Write a Reply or Comment

האימייל לא יוצג באתר. שדות החובה מסומנים *


הירשמו לניוזלייטר שלנו