WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta on löytynyt vakava nollapäivähaavoittuvuus. Haavoittuvuuden paikkaava päivitys on havainnon jälkeen jo julkaistu. Se on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.
Tietoturva-aukon löysi Suomen johtava WordPress-ylläpitäjä Seravo. Sen ylläpitämissä palveluissa lisäosaan kohdistuvat hyökkäykset estettiin jo ennen virallisen lisäosan julkaisua. WordPress on maailman yleisin verkkosivustojen julkaisujärjestelmä, ja sitä käyttää Suomessa yli 30 prosenttia sivustoista.
”Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna”, Seravon toimitusjohtaja Otto Kekäläinen kertoo.
”Rikolliset yrittävät hyödyntää haavoittuvuutta aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua tätä aukkoa hyödyntämällä yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon”, hän sanoo.
WP FIle Manager -lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmassa ja yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.
”Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. WordPressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia”, Kekäläinen kertoo.
Löytynyt nollapäivähaavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Verkkohyökkäys pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.
”Haluamme muistuttaa, että kaikkien yritysverkkosivustojen tulisi olla aktiivisesti ylläpidettyjä ja valvottuja. Vaikka sivusto ei tunnu tärkeältä, sen kautta voidaan hyökätä edelleen muille sivustoille, jolloin tietoturvan laiminlyönyt sivuston omistaja voi olla osavastuussa”, toimitusjohtaja Kekäläinen sanoo.
Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon.
Teknisiä lisätietoja (englanniksi): https://seravo.com/blog/0-day-vulnerability-in-wp-file-manager/
Lisätietoja medialle:
Otto Kekäläinen, toimitusjohtaja
Seravo Oy
otto (at) seravo.fi
+358 40 566 2204
Seravo
Vuonna 2011 perustettu Seravo Oy on Suomen johtava WordPress-sivustojen ylläpitäjä sekä Linuxiin ja avoimeen lähdekoodiin perustuvien tietojärjestelmien palveluyritys. Yrityksen toimisto sijaitsee Tampereella ja yrityksellä on parikymmentä työntekijää eri puolilla maata. Lisätietoja: https://wp-palvelu.fi/media-kit/