Miliony stron łatwo zawiesić. Twórcy WordPressa zamiast łatki mają dobrą radę

WordPress dosłownie pożarł Internet – w 2017 roku działałona jego bazie 27% witryn internetowych, a dziennie uruchamianych jestpodobno 50 tysięcy nowych. Ten pozbawiony większych zalettechnicznych CMS wygrał przede wszystkim łatwością obsługi iogromną liczbą wtyczek, pozwalających nie mającym pojęcia oprogramowaniu na uzyskanie niemal dowolnych funkcjonalności naswoich stronach. Doprowadziło to do niepokojącej z perspektywybezpieczeństwa Sieci sytuacji: wystarczy odkrycie jednej luki 0-day,by miliony prowadzonych przez amatorów witryn internetowych stałosię łatwym łupem dla cyberprzestępców. W tym tygodniu możemyobserwować właśnie taką sytuację, w dużym stopniu spowodowanąprzez błąd zespołu odpowiadającego za zabezpieczenia WordPressa.

W ostatni poniedziałek badacze z firmy Imperva odkryli wkluczowych modułach używanych do ładowania plików JS i CSSpodatność na ataktypu DoS. Otrzymał on oznaczenie CVE-2018-6389. Za pomocąprostego skryptu można praktycznie sparaliżować działanie stronyinternetowej, zmuszając WordPressa do nieustannego serwowaniadługiej listy plików JS/CSS podczas ładowania się strony.Normalnie podatne moduły dostępne są tylko dla zalogowanychużytowników, ale jak się okazało, są one dostępne także przezstronę logowania, ujawniającą je także użytkownikomniezalogowanym.

Jak sprawdziliśmy, wystarczy kilkanaście sekund, by strona naWordPressie działająca na typowym współdzielonym hostinguprzestała działać od przykładowych exploitów, opublikowanych jużna GitHubiei w Exploit-DB.

Zespół WordPressa odmówił załatania tej luki, uznając żesprowadza się ona jedynie do wyczerpania zasobów i jako takapowinna być blokowania na poziomie sieciowego czy aplikacyjnegofirewalla. Sami odkrywcy radzą, by w tej sytuacji ustawićograniczenia dostępu na pliki load-styles.php i load-scripts.phptylko dla zaufanych adresów IP. Na GitHubie pojawił się teżskryptw bashu, który łata lukę, pozwalając jedynie adminom nawysyłanie żądań do podatnych modułów i usuwa dostęp do nich zestrony logowania.

Sęk w tym, że zastosowanie takiej łatki wychodzi pozamożliwości znacznej grupy użytkowników wordpressowych witryn,którzy w najlepszym razie umieją kliknąć przycisk Aktualizuj.Jednak i nawet ci bardziej kompetentni niewiele zrobią, jeśli niebędą mieli dostępu do systemowej powłoki, jak to zwykle jest wwypadku współdzielonego hostingu.

Tego samego dnia co informacja o podatności na CVE-2018-6389wyszła taka sobie mała aktualizacja WordPressa, oznaczona numerem4.9.3. Miała ona naprawić kilka pomniejszych usterek – i wszędzietam, gdzie użytkownicy ustawili sobie automatyczne aktualizacje,została pobrana i zainstalowana. Zadziałała, drobne błędypoprawiła, jednocześnie doszczętnie psując system automatycznychaktualizacji. Oznacza to, że dla wielu nieserwisowanych witryn,wersja 4.9.3 WordPressa będzie ostatnią – późniejszych już niezobaczą.

Gdy zespół odpowiedzialny za bezpieczeństwo WordPressazorientował się, co zrobił, było już za późno – praktyczniewszystkie automatycznie aktualizujące się instancje były jużpopsute. W tej sytuacji pozostało jedynie wydać wersję4.9.4, i poprosić użytkowników o ręczną aktualizację zpoziomu kokpitu WordPressa.

Wersja 4.9.4 też jednak nie uodparnia witryn na atak 0-day.Możemy się więc spodziewać w najbliższym czasie licznych próbDOS-ów na wordpressowe witryny, czy to z potrzeby wandalizmu, czynp. chęci zaszkodzenia konkurencji. Nierzadko przecież naWordPressie stawia się przecież całe sklepy internetowe – ajeśli łatwo można sklep internetowy konkurencji wysłać naodpoczynek…