Autor: Cybersecurity Help | 7.2.2017 |
Majitelé webů si začali stěžovat na hackování webových stránek jen hodinu poté, co WordPress veřejně publikoval informaci o obsahu zranitelnosti v REST API (popsané v našem bezpečnostním bulletinu SB2017012702 #4). Zranitelnost, o které mluvíme, byla tiše záplatovaná ve verzi 4.7.2 a odhalena pár dní poté společně s ostatními zranitelnosti v bezpečnostním bulletinu.
Hodně lidí začalo kritizovat WordPress pro zadržování informací o záplatě, což vyvolalo určité osobní obavy. Avšak jak můžeme vidět, bylo to správně rozhodnutí a mnoho lidí bylo schopno záplatovat své WordPressové instance ještě před opravdovým vypuknutím hrozby.
V současnosti můžeme vidět automatizované útoky exploitující zranitelnost v REST API. Požadavek na webovou stránku vypadá následovně:
1) Útočník pošle požadavek na URL:
http://[host]/index.php/wp-json/wp/v2/posts/
2) Získá poslední identifikátor postu
3) Pošle požadavek získánému identifikátoru a vloží následující obsah:
Hacked By <Přezdívka hackera>
např.:
Hacked By BALA SNIPER
nebo
Hacked By MuhmadEmad
Evidence hacknutých webů s doménou .cz podle Google:
Hacked By BALA SNIPER | 1700 |
Hacked By MuhmadEmad | 1170 |
Pokud uvidíte tuto stránku na vašem webu, Váš web byl napaden. Podle Sucuri, tato zranitelnost může být použita ke spuštění libovolného PHP kódu, pokud je kombinována s funkčností WordPress puginů třetích stran. Apelujeme na WordPress majitele, aby instalovali poslední verzi WordPressu 4.7.2 co nejrychleji.