The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на системы через WordPress-плагин Ninja Forms, насчитывающий более миллиона установок

17.06.2022 14:26

В WordPress-дополнении Ninja Forms, имеющем более миллиона активных установок, выявлена критическая уязвимость (CVE пока не присвоен), позволяющая постороннему посетителю получить полный контроль над сайтом. Проблема устранена в выпусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Отмечается, что уязвимость уже используется для совершения атак и для экстренного блокирования проблемы разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей.

Уязвимость вызвана ошибкой в реализации функциональности Merge Tags, позволяющей неаутентифицированным пользователям вызывать некоторые статические методы из различных классов Ninja Forms (для проверки упоминания методов в передаваемых через Merge Tags данных вызывалась функция is_callable()). В том числе был доступен вызов метода, выполняющего десериализацию содержимого, переданного пользователем. Через передачу специально оформленных сериализированных данных атакующий мог осуществить подстановку своих объектов и добиться выполнения PHP-кода на сервере или удалить произвольные файлы в каталоге с данными сайта.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Утечка БД в WordPress-дополнении UpdraftPlus, насчитывающем 3 млн установок
  3. OpenNews: Взлом провайдера GoDaddy, приведший к компрометации 1.2 млн клиентов WordPress-хостинга
  4. OpenNews: Уязвимость, допускающая подстановку JavaScript-кода через WordPress-плагин OptinMonster
  5. OpenNews: Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок
  6. OpenNews: Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/57370-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Варенье (?), 15:15, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати, довольно занятный вектор атаки — необязательно звать eval на входные данные, если можно десериализовать класс, в котором определена функция __wakeup()
     
     
  • 2.4, Аноним (4), 15:21, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Десериализация это и есть eval.
     
     
  • 3.37, Аноним (37), 22:15, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это только в шаблонизаторе Personal Home Page. В языках программирования (а шаблонизатор Personal Home Page таковым не является), десериализация - это десериализация, а не eval.
     
     
  • 4.44, Аноним (44), 03:23, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как минимум в Python при десериализации из pickle проблемы те же.
     

  • 1.5, suffix (ok), 15:26, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В этом и проблема WP - без плагинов он вообще неюзабелен, а плагинов наделали 100500 штук все кому не лень и разумеется пару раз в год через плагины новый взлом сайтов на WP образуется.

    То ли дело наш, исконно русский, православный Битрикс. Полностью работоспособен прямо из коробки, никакие дополнения из Маркетплейса ненужны для нормальной работы. И никаких взломов сайтов не Битриксе в принципе не происходит !

     
     
  • 2.8, Аноним (8), 15:49, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если ничего не дописывать, то может и хорош. Но потом заказчику надо тут дописать, там переписать и начинается если и не взломают то сам упадет)
     
     
  • 3.16, suffix (ok), 17:24, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если ничего не дописывать, то может и хорош. Но потом заказчику надо
    > тут дописать, там переписать и начинается если и не взломают то
    > сам упадет)

    Вы правы. Я и имел ввиду что для "новичков" Битрикс безопаснее чем WP.

    Разумеется все доработки / переписки что на Битрикс что на WP если делает профессионал то и там и там не будет ничего падать, никто не взломает и т.д.

     
  • 3.29, Ilya Indigo (ok), 21:34, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть фреймвёрки Yii и Laravel и что-то я не помню новостей об уязвимости в них.
     
     
  • 4.32, Аноним (32), 21:47, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В Laravel достаточно много уязвимостей было. Хотя бы про смену шифрования кук должны были слышать. И это не считая того, что каждый первый "крутой разработчик" отключает все возможные встроенные средства защиты, потому что ему "не удобно так". Так что во всех этих сайтах ошибок не меньше, чем в WP, если бы они были кому интересны.
    А Yii ещё скачать надо умудриться. При том количестве зависимостей в нём, нарваться на таймауты плёвое дело. Видимо по этому на нём сайтов не так много.
     
  • 4.49, Аноним (49), 10:42, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так это ж не CMS, где покликал и готово, там програмировать надо.
     
  • 2.9, Ooiiii (?), 16:03, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > исконно русский, православный Битрикс

    Только при его создании почему то не использовался ни один исконно русский язык программирования, ни один исконно русский компьютер и ни одна исконно русская операционная система.

     
  • 2.13, 1 (??), 16:54, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну может взломов сайтов и не происходит, но как его делают источником DDoS атак - запросто.
    Через всякие там redir.js и прочие "прэлести".
     
     
  • 3.15, suffix (ok), 17:13, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну может взломов сайтов и не происходит, но как его делают источником
    > DDoS атак - запросто.
    > Через всякие там redir.js и прочие "прэлести".

    1. Есть такая тема про редиректы, только не js а php.

    2. Решение есть и в самом Битрикс и требует 5 секунд:  Настройки → Проактивная защита → Защита редиректов и они все отрубятся.

    3. Вторым способом можно и в nginx запретить все перенаправления через rk.php, redirect.php и click.php кроме нужных ибо хорошие вещи через них полезны (отслеживание например переходов по рекламным компаниям).

     
     
  • 4.18, пох. (?), 18:18, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вторым способом можно и в nginx запретить все перенаправления через rk.php, redirect.php и
    > click.php

    и конечно же любой покупатель коробочки за сколько там уже - 30тыр знает про все эти click.php и как их запретить.

    (и, кстати, что за х-ня rk.php?)

     
     
  • 5.21, suffix (ok), 18:50, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    rk.php  - это rk значит "реклама" - фигня для учёта эффективности рекламных компаний (переходов и т.п.). В принципе вещь полезная, при грамотной настройке конечно.
     
  • 4.65, rustian (?), 00:21, 24/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    о господи, вот как раз инструкций по настройке битрикса не хватало на опеннете.

    Битрикс это одно из самых уродских поделий, вне зависимости от того есть ли у него в админке защита редиректов или нет. И самое коварное в битриксе то, что он издалека выглядит нормальным продуктом с нормальными пользователями, что может стоить тем, кто решит с ним связаться большой доли нервных клеток.

     
     
  • 5.67, suffix (ok), 07:14, 24/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, Битрикс прямо скажем не идеален, и косяков в нём хватает.

    Но как и с любым другим продуктом его надо уметь готовить. И сделать из него конфетку вполне реально, разумеется конфетку можно сделать и из любого другого продукта (например WP).

    Вспомните старый андекдот:

    "Ну ужас, но не УЖАС-УЖАС" (С)

    :)


     
  • 2.17, пох. (?), 18:16, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > То ли дело наш, исконно русский, православный Битрикс. Полностью работоспособен прямо из коробки

    а поскольку цена коробки неподъемна для пион...нецветочков запрещенных на впопеннете - то и взлома можно не бояться.

    > никакие дополнения из Маркетплейса ненужны для нормальной работы.

    хеловрота - может и не нужны. А если нужен сайт а не "добро пожаловать в битрикс" - то либо мракет, либо сам кодируй (большинство покупателей коробочки не обучены).

    > И никаких взломов сайтов не Битриксе в принципе не происходит !

    эммм... как бы это помягче...

     
     
  • 3.31, YetAnotherOnanym (ok), 21:44, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > цена коробки неподъемна

    Должен же хоть с какой-то стороны быть порог вхождения.

     
     
  • 4.42, пох. (?), 02:24, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там со всех сторон пороги.
    Например, поиск гуглем любой проблемы скорее всего приведет тебя на форум, где под таким же описанием как твое - ответ традиционный: "напишите нам в закрытый канал связи с техподдержкой - мы вам все расскажем". Это даже не rhbm с документацией за пэйволом, это вообще полное анальное огораживание.

    P.S. а я вчера таки дернул рубильник. Ни сил, ни времени, ни желания уже нет ЭТО костылить.

     
  • 2.20, Anonim (??), 18:48, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше иметь проблемы с Wordpress, чем Битрикс будет иметь вас.
     
  • 2.25, Аноним (25), 20:43, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Прямо сейчас юзаю xss битрикса. Админку взять не проблема.
     
     
  • 3.26, suffix (ok), 20:47, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну если Вы находите где-то идиотов которые отключают "Проактивную защиту" (в которой разумеется защита от xss есть) то это не значит что Битрикс не защищён из коробки.
     
  • 2.30, Sergey (??), 21:41, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это скорее асего потому что этот битрикс используется только на 2х сайтах.

    Есть пример сайта где использунтся он ?

     
     
  • 3.34, suffix (ok), 21:52, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самому не стыдно ?

    Намного больше сотни тысяч сайтов используют Битрикс.

    Ваш высер про 2 сайта просто туп.

    Пример сайта на Битрикс Вы хотите ? Да, пожалуйста - вот мой сайт.

    https://www.babai.ru

     
     
  • 4.35, Аноним (35), 22:02, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тонкий способ пропиарить свой сайт.
     
     
  • 5.36, suffix (ok), 22:12, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мне пиар не нужен.

    Мой сайт никогда и никак не монетизируется - ни рекламы, ни продаж, ни услуг на сайте никогда не было и не будет.

    Я люблю хрюш искренне и бескорыстно.

     
  • 5.39, Sergey (??), 00:05, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не в пиаре.

    Не люблю эти штуки на пхп, но вордпресс фрии и его юзает весь мир. Вы что думаете битрикс кто нибудь юзает за пределами России ?

     
  • 4.38, Sergey (??), 23:49, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно битрикс используют виндузятники.

    А нормальный пример будет ? То что Вы показали делается и на голом вордпрессе без плагинов.

     
     
  • 5.46, suffix (ok), 07:18, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1. Битрикс не работает на iis сервере

    2. А давайте Вы сами найдёте ?Благо тыкайте в любой интернет магазин в зоне .ru и через один будет Битрикс. Поощрять вашу дремучесть и лень нет никакого желания.

     
  • 5.63, Анон1211 (?), 01:56, 19/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Супр к примеру https://www.cy-pr.com/
     
  • 2.41, DEF (?), 00:31, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >То ли дело наш, исконно русский, православный Битрикс

    Битрикс - гораздо хуже, чем Wordpress. Пусть этот Битрикс сначала наберет такую же популярность, как и Вордпресс, а потом посмотрим, как в этом решете будут находить баги и дыры побольше, чем в Вордпрессе.

     
     
  • 3.47, suffix (ok), 07:20, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, миллионы мух не могут ошибаться :)
     
     
  • 4.51, DEF (?), 16:48, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не ошибаются только любители свиней, пропагандируя ущербный Битрикс, чья рыночная доля менее 1 процента.
     
     
  • 5.52, suffix (ok), 17:23, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Не ошибаются только любители свиней, пропагандируя ущербный Битрикс, чья рыночная доля
    > менее 1 процента.

    Только люди с нетрадиционным интеллектом сравнивают количество установок бесплатного (WP) и платного (Битрикс) продуктов.

     
     
  • 6.54, DEF (?), 17:38, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Этот мусор еще и платный. За что там платить? За гораздо более худшую в плане архитектуры и качества кодовой базы, чем WordPress, ЦМСку? Пусть это кушают любители хрюш. Нормальные люди выбирают наименьшее из зол - WordPress.
     
     
  • 7.55, suffix (ok), 17:42, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению ваш аргумент о нормальных людях полностью несостоятен ибо неадекват не способен объективно оценивать реальность.
     
     
  • 8.56, DEF (?), 18:57, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все верно Вы и есть недекват, не способный объективно оценивать реальность Жуй... текст свёрнут, показать
     
     
  • 9.57, suffix (ok), 19:03, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1 Хамство признак проигрыша в споре 2 Вы доказали свою неадекватность тупо тем... текст свёрнут, показать
     
     
  • 10.58, DEF (?), 21:57, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1 Хамить ты первый начал, шизик 2 Битрикс, даже если был бы бесплатный - такж... текст свёрнут, показать
     
     
  • 11.59, suffix (ok), 22:18, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И сколько мне платят Вы феерический Ну да ладно, слив засчитан ... текст свёрнут, показать
     
     
  • 12.60, DEF (?), 22:30, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Господин свинопас, не пропускайте прием таблеток, который назначил вам ваш лечащ... текст свёрнут, показать
     
  • 2.43, Аноним (43), 03:20, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Из свежего, CVE-2022-27228 - 9.8 полуляхов из 10
     
     
  • 3.64, Доктор Дью (?), 08:41, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    :)
     

  • 1.11, Аноним (11), 16:20, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    WordPress: Ясно, понятно.
     
  • 1.12, th3m3 (ok), 16:43, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    О, продолжение сериала про днище Wordpress и его плагины) Достаю попкорн.
     
  • 1.19, Аноним (19), 18:39, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В WordPress ... выявлена критическая уязвимость

    "В решете нашли дыру", - вот что я прочитал.

     
     
  • 2.40, Без аргументов (?), 00:29, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Им нужно определиться, либо просеивать муку и сливать макароны, либо это.
     

  • 1.23, Sw00p aka Jerom (?), 20:00, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей.

    кек

     
  • 1.27, Kuromi (ok), 20:47, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Собственно чему удивляться, давным давно неплохим способом защитить свою CMS-очку было изменить в заголовках отдаваемое название на Wordpress и накидать в корень сайта фальшивых PHP файлов (с NOOP внутри) с названиями как у Вордпрессовских.
    И все, кулхацкеры будут упорно долбиться в ваши заглушки даже не пытаясь понять что не так-то.
     
     
  • 2.45, Аноним (43), 03:28, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Долбят боты. Пройдитесь на досуге Acunetix по своему сайту, сильно удивитесь
     
  • 2.50, Наноним (?), 16:23, 18/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Долбятся боты. Очень удобно написать ботов для Wordpress, а потом натравливать их на миллионы Wordpress сайтов, среди которых наверное большинство вовремя не обновляется. И ломаются они также автоматически. С точки зрения ботописателей Wordpress - это просто идеал решета, на котором можно заработать.
     
  • 2.61, InuYasha (??), 00:02, 19/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда-то была у меня оч хорошая по тем временам ЦМСка на базе PostNuke. Держалась долго и крепко под натисками ботов. Потом однажды не выдержал и поменял "made with PN" на что-то более нестандартное и - БАБАХ! - apache/error.log опустел. :) Да, боты. Ну, вот и прекрасно.
    Но ничего, потом у нас в гарнизоне ИИ появился. Но вы там держитесь.
     
     
  • 3.62, Kuromi (ok), 01:46, 19/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда-то была у меня оч хорошая по тем временам ЦМСка на базе
    > PostNuke. Держалась долго и крепко под натисками ботов. Потом однажды не
    > выдержал и поменял "made with PN" на что-то более нестандартное и
    > - БАБАХ! - apache/error.log опустел. :) Да, боты. Ну, вот и
    > прекрасно.
    > Но ничего, потом у нас в гарнизоне ИИ появился. Но вы там
    > держитесь.

    По опыту еще один прекрасный метод - закрыть админку (если возможно) HTTP AUTH и половина атак уходит в  молоко. А если при это сменить метод с BASIC на DIGEST (да еще поставить скажем SHA-256 или SHA-512), то эти боты отпадают сразу, многие даже не поддерживают такого.

     
  • 2.66, rustian (?), 00:24, 24/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не хочу вас расстраивать, но это не защита, а говно )

    Умные люди называют это security through obscurity, и они такой подход не одобряют.

     
     
  • 3.68, Kuromi (ok), 22:47, 28/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > не хочу вас расстраивать, но это не защита, а говно )
    > Умные люди называют это security through obscurity, и они такой подход не
    > одобряют.

    А это и не полноценная защита, это один из способов сделать атакующему жизнь сложнее. Сама по себе не спасет, но в комплекте с другими методами - помогает.
    Вариантов же куча, open_basedir в PHP, запрет на исполнение в tmp, закрытие ненужных директорий от доступа извне (впрочем сейчас CMSочки имеют заглушки для этого сразу в комплекте), само собой 2FA на админку и прочее и прочее.

     

  • 1.28, microsoft (?), 21:00, 17/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > инициировали принудительную автоматическую установку

    Конечно, конечно... во благо же.

     
     
  • 2.33, Адмирал Майкл Роджерс (?), 21:48, 17/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно так, сэр.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру