15:04
24/4/2013

Jeśli korzystacie z pluginów WP Super Cache i W3TC natychmiast je zaktualizujcie, w przeciwnym razie umożliwiacie atakującemu wykonywanie dowolnego kodu PHP na swoim serwerze.

Dziura znana od miesiąca…

Luka odkryta w pluginach WP Super Cache i W3TC fachowo nazywa się RCE (Remote Code Execution). Odkrył ją i w szczegółach opisał już miesiąc temu użytkownik kisscsaby, ale dopiero od 5 dni dostępne są aktualizacje wtyczek.

Aby sprawdzić, czy atak jest możliwy na naszym serwerze, należy w komentarzach dodać następującą treść:

<!–mfunc echo PHP_VERSION; –><!–/mfunc–>

Jeśli komentarz jest przetwarzany przez podatną na atak wtyczkę, powinniśmy zobaczyć w jego treści wersję PHP zainstalowaną na serwerze (ale niestety każde inne polecenie PHP także zadziała…).

Wynik wstrzyknięcia kodu PHP (fot. Accunetix)

Wynik wstrzyknięcia kodu PHP (fot. Accunetix)

Obie wtyczki służą “przyśpieszeniu” WordPressa poprzez cache’owanie i korzysta z nich około 6 milionów stron internetowych. Aż dziw, że przez miesiąc, kiedy to opis błędu był publicznie dostępy i nie było na niego patcha żaden z botnetów nie wykorzystał tego błędu do ataków na masową skalę. Znając szybkość aktualizowania wtyczek przez użtkowników, pewnie ciągle wiele instalacji WordPressa jest podatnych na wstrzyknięcia…

via KKKas

Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. 5.3.24

  2. Czy jak mamy moderowanie komentarzy włączone jesteśmy dalej podatni? W sensie takim, że jeśli atakujący nie ma możliwości wpisania o tak o jakiegoś komentarza na stronę i musi ten komentarz przejść najpierw przez moderację admina (który _powinien_ coś takiego wyłapać), to raczej ta luka nawet jak istnieje to nie jest krytyczna, tak?

    • Asmodiel moderacja to tylko ustalenie czy komentarz jest widoczny czy nie, a przetworzony i tak będzie

  3. Miałem jakieś 3 tygodnie temu deface`a bloga na wordpressie, z tym, że komentarze były wyłączone…używam tej wtyczki, teraz jest już aktualna

    • Jeśli komentarze nie działały, to pewnie jakiś formularz kontaktowy , lub jakieś inne pole, przez które można coś “postnąć”

  4. a kto w ogóle używa WP? a wy, hehehehehe

  5. Widzę, że niektórzy już testują niebezpiecznika:D

  6. a że tak spytam jaka wersja hyper cache jest najnowsza? obecnie mam wersje 2.9.1.2 i takową widzę w pluginach na stronie wordpressa

    Jarek a co takiego złego widzisz w wordpresie ?? Podasz lepszą alternatywę? :)

  7. PHP Version 5.2.17

    System niebezpiecznik.pl Linux x86_64
    Server API UltraCGI/1.0 for IdeaWebServer
    Loaded Configuration File /usr/local/php/php.ini
    PHP API 20041225
    PHP Extension 20060613
    Zend Extension 220060519
    Zend Memory Manager enabled
    IPv6 Support enabled
    Registered PHP Streams https, ftps, compress.zlib, compress.bzip2, php, file, data, http, ftp, zip
    Registered Stream Socket Transports tcp, udp, unix, udg, ssl, sslv3, sslv2, tls
    Registered Stream Filters zlib.*, bzip2.*, convert.iconv.*, string.rot13, string.toupper, string.tolower, string.strip_tags, convert.*, consumed

    This program makes use of the Zend Scripting Language Engine:
    Zend Engine v2.2.0, Copyright (c) 1998-2010 Zend Technologies
    with the ionCube PHP Loader v4.0.7, Copyright (c) 2002-2011, by ionCube Ltd.

    Configuration
    PHP CoreDirective Local Value Master Value
    allow_call_time_pass_reference On On

    Directive Local Value Master Value
    allow_call_time_pass_reference On On
    LOL_mode On On
    allow_url_fopen On On
    allow_url_include Off Off
    always_populate_raw_post_data Off Off
    arg_separator.input & &

    ;-)

    • Widzę że łatka nie do końca rozwiązuje problem, bo dalej wp jest podadny. wystarczy trochę zmodyfikować stringa http://www.youtube.com/watch?v=dQw4w9WgXcQ

    • Chyba Piotrowi głupio ze nie odpisuje :)

      k6t gz :)

    • Chyba Pawwwel nie wyłapał trololo.

  8. Czy WP kiedykolwiek będzie bezpieczne?

    • @Infero: Jutro! ;-D

    • To nie WP tylko wtyczka.

  9. Od której wersji wtyczki, ten błąd się pojawia? Ponieważ, ja posiadam tą wtyczkę, ale dawno nie robiłem jej aktualizacji i ta podatność nie działa

  10. Do wczoraj miałem “WP super cache” w wersji 1.2 i podatności na atak nie było. Cały tekst lądował w komentarzu, z tym że “coś” dodawało spacje przed wykrzyknikami. Wczoraj zaktualizowałem do 1.3.1 a dzisiaj jest już kolejna aktualizacja także związana z tagami mfunc, 1.3.2 – nic się nie zmieniło.

  11. @Piotr Konieczny: LOL mode on. :D

    BTW, interesuje Was dziura w myBB pozwalająca na eskalację uprawnień, czy olewacie ten CMS z uwagi na małą popularność? :p

  12. Czy nmap lub OWASP Zap ma mozliwosc scanu strony z wyborem “sprawdz wersje/wtyczke” ?

  13. gdzieś czytałem, że wordpress to php shell, ale ma też wtyczki do blogowania.

  14. Dzięki za informacje, może napisz to twórców i podsuń im rozwiązanie problemu ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.