Komentarz do podatności wtyczki WP GDPR Compliance

Szacunkowy czas czytania: 2 minuty

 

6 listopada 2018 wyszło na jaw, a następnie rozeszło się szerokim echem, że popularna (obecnie ponad 100 tysięcy instalacji) wtyczka „do RODO”, czyli WP GDPR Compliance, jest niebezpieczna. Wtyczka do czasu załatania luki (dzień później) została usunięta z oficjalnego repozytorium WordPressa. W tym czasie otrzymała sporo ocen jednogwiazdkowych.

Na czym polegało niebezpieczeństwo?
Luka we wtyczce pozwalała na utworzenie kont administratorskich (w praktyce były to różne wariacje ze słowem „trollherten” w nazwie). Po jakimś czasie w bazie danych MySQL, w tabeli wp_posts pojawiał się złośliwy, przekierowujący skrypt. Przekierowania prowadziły do strony saskmade.net, która jest na czarnej liście Sucuri Labs.

 

 

Podatność została załatana w aktualizacji 1.4.3. Update oczywiście łatał dziurę, ale nie usuwał ewentualnych konsekwencji, jeśli atak na stronę już nastąpił.
Jeżeli macie wątpliwości, czy udało się Wam uniknąć lub skutecznie usunąć skutki podatności, sprawdźcie nie tylko czy w systemie są nowi administratorzy, ale także, czy złośliwy skrypt nie czai się nadal w bazie danych (można to podejrzeć przez phpMyAdmin w tabeli wp_posts, w kolumnie post_content – jak na screenie).
W przypadku tych infekcji, dostawcy usług hostingowych nierzadko informowali, że strona zawiera podejrzane pliki, ale nie jest to regułą. Nawet jeśli nie otrzymaliście informacji z hostingu, nie oznacza to, że infekcja nie nastąpiła.

Umiejscowienie złośliwego skryptu w bazie MySQL

 

Skala ataków była naprawdę duża. Prawdopodobnie wiele stron wciąż jest zainfekowanych. Sama miałam przyjemność usuwania skutków ataku na dwóch stronach opartych na WordPressie. W obydwu przypadkach niepokojące symptomy zaczęły się lekko wcześniej niż podano oficjalną informację o tej podatności.

Ciekawostka – złośliwy skrypt występował na jednej z zarażonych stron w 1374 miejscach w bazie danych.