Kaikki yleisesti käytössä olevat WordPress-versiot haavoittuvia

03.11.2014

Klikki Oy on havainnut WordPress-sisällönhallintajärjestelmässä haavoittuvuuden, joka mahdollistaa ulkopuoliselle ohjelmakoodin syöttämisen WordPress-blogikirjoituksiin ja -sivuihin. Ainakin ohjelmiston kaikki 3-versiot, joita asennuksista on noin 90%, ovat haavoittuvia vakioasetuksin.

Hyökkääjältä ei edellytetä sisäänkirjautumista. Tyypillisessä tapauksessa hyökkäyksen voi kohdentaa valikoidusti ylläpitokäyttäjään ja syöttää tämän selaimeen JavaScriptiä, jolla saadaan ajettua haluttua koodia myös palvelimella käyttöjärjestelmän tasolla.

Olemme tiedottaneet WordPressille ongelmasta syyskuun 26. päivä. Valmistajan mukaan korjaus on viivästynyt, koska ongelma on osoittautunut luultua laajemmaksi ja koskee jossain määrin myös uusinta 4.0-versiota. Kaikki ohjelmiston nykyiset versiot olisivat siis haavoittuvia.

Vakavin ongelma koskee nähdäksemme kuitenkin kolmosversioita, mukaan lukien uusinta 3.9.2:ta. Hyökkäys tapahtuu kommenttilomakkeen kautta, joka on oletuksena kaikille avoin. Hyökkääjän syöttämä koodi ajetaan, kun kohdekäyttäjä käy kommentin sisältävällä sivulla. Ylläpitokäyttäjän osalta tämä voi tapahtua myös WordPressin ylläpitopaneelissa (Dashboard).

Kyseessä lienee vakavin julkaistu WordPress-haavoittuvuus vuoden 2009 jälkeen. Alttiina on maailmanlaajuisesti arviolta kymmeniä miljoonia sivustoja.

WordPress valmistelee korjauksen julkaisua tällä viikolla, alustavasti keskiviikkona.

Helsingin Sanomat on perjantaina julkaissut WordPressiä koskevan uutisen, joka pääsisällöltään noudattelee tässä tiedottamaamme. Uutinen sisältää mm. sen aiemmin julkistamattoman tiedon, että vain uusin 4.0-versio olisi turvallinen. Tuossa vaiheessa tämä oli myös Klikki Oy:n käsitys. WordPressin meille antamien tietojen valossa se on kuitenkin osoittautunut liian optimistiseksi.

Nähdäksemme uutisessa on käytetty Klikki Oy:n Sanoma Media Finlandille keskiviikkona antamaa ennakkotietoa, jonka luottamuksellisuutta painotimme useaan otteeseen. Emme ole antaneet suostumusta sen julkaisuun, koska ongelman ennenaikainen julkistaminen voisi pahimmillaan saattaa vaaraan kymmeniä miljoonia sivustoja ja luultavasti satoja miljoonia internetin käyttäjiä.

Uutisessa ei suoraan yksilöidä tätä ongelmaa, mutta ei liene sattumaa, että lehti julkaisee historiansa ensimmäisen WordPressin tietoturvaan keskittyvän uutisen juuri nyt.

Jos HS olisi nojautunut vain julkisiin tietoihin, uutinen olisi keskeisiltä osiltaan virheellinen. Todellisuudessa WordPressin tukemissa versioissa 3.7-3.9 ei ole ollut julkisesti tunnettuja haavoittuvuuksia kuukausiin. Mainitut toukokuun version haavoittuvuudet on korjattu ja ne ovat merkitykseltään vähäisiä havaitsemaamme ongelmaan verrattuna.

Uutisen julkaisuajankohta on sama, jonka ennakkoon ilmoitimme Sanomalle. Valmistajan pyynnöstä päätimme kuitenkin lykätä tiedon julkaisua. Lehden tarkoituksena lienee johdatella lukijat ja muu media siihen käsitykseen, että HS ja mainittu yritys tiedottivat ongelmasta ensimmäisinä maailmassa.

Lisäksi Viestintäviraston CERT-FI, jolle annoimme ennakkotietoa ongelman Suomen-koordinointia varten, myöntää ottaneensa asiassa yhteyttä uutisessa mainittuun ulkopuoliseen yritykseen ja kertoneensa tulevasta WordPress-tiedotteesta ainakin jollain tasolla.

On valitettavaa, että kyberturvallisuudesta vastaava viranomainen välittää tietoa kilpailevalle yritykselle, joka vuorostaan käyttää sitä mainostarkoituksiin, kun kysymyksessä on maailmanlaajuisesti harvinaisen vakava tietoturvauhka.

Ongelman havaitsemisessa tai selvittämisessä uutisessa mainitulla yrityksellä ei ole ollut minkäänlaista roolia.

Helsingin Sanomien päätös julkaista Klikki Oy:n antamat luottamukselliset tiedot toisen yrityksen nimissä, vastoin alkuperäisen tietolähteen suostumusta, on niin ikään harmillinen. Minkäänlaista selitystä tapahtuneelle ei ole tiedusteluistamme huolimatta annettu.

Vastoin näitä tahoja Klikki Oy on sitoutunut asian vastuulliseen koordinointiin WordPressin kanssa. Emme siksi voi vielä tässä vaiheessa, tietovuodosta huolimatta, julkaista ongelman tarkempia yksityiskohtia.

WordPress-ylläpitäjien kannattaa varautua päivittämään palvelimensa tällä viikolla. Suunnitelmissamme on julkaista yksityiskohtaisempi tiedote lähipäivinä, kun WordPress saa korjauksen valmiiksi.

Valmistelemme myös haavoittuvuudelta suojaavaa pluginia niitä ylläpitäjiä varten, jotka eivät jostain syystä voi päivittää viimeisimpään versioon.

Aiempia tiedotteitamme voi lukea täällä.

Uusi tiedote 05.11.2014 täällä.

Päivitys 06.11.2014: HS:n kustantajan nimi korjattu -> Sanoma Media Finland.

Päivitys 20.11.2014: Korjaukset julkaistu.