Pääsivu | Tiedotteet

Kymmenet miljoonat WordPress-sivustot alttiina haavoittuvuudelle

21.11.2014

Klikki Oy on havainnut kriittisen haavoittuvuuden WordPress-ohjelmistossa. Ongelma koskee blogi- ja sisällönhallintajärjestelmän versioita 3.0 - 3.9.2. WordPressin tilastojen mukaan noin 86% kaikista WordPress-sivustoista käytti hyökkäykselle altista versiota, kun korjaus julkaistiin 20.11.2014. Kun ilmoitimme ongelmasta syyskuussa, osuus oli noin 90%. Hyväksikäyttö edellyttää hyökkääjältä mahdollisuutta syöttää tekstiä esim. kommenttilomakkeeseen.

WordPress-sivustojen kokonaismäärän on arvioitu liikkuvan kymmenissä miljoonissa.

Versio 3.0, jossa haavoittuvuus ensimmäisenä esiintyi, julkaistiin vuonna 2010. Versio 4.0, jota ongelma ei enää koske, julkaistiin syyskuussa 2014. Vika on siis säilynyt korjaamattomana melkein neljä vuotta.

Hyökkääjä voi hyödyntää haavoittuvuutta syöttämällä tarkasti määriteltyjä, ohjelmakoodia sisältäviä kommentteja WordPress-blogikirjoituksiin ja -sivuihin. Vakioasetuksin kommenttien syöttäminen on mahdollista kenelle tahansa ulkopuoliselle, eikä vaadi kirjautumista.

Kommentteihin ujutettu ohjelmakoodi ajetaan taustalla blogin ylläpitäjän verkkoselaimessa, kun tämä käy kommentin sisältävällä sivulla. Haittakoodi voi tällöin suorittaa ylläpidollisia toimintoja ottamalla huomaamatta hallintaansa ylläpitäjän verkkoselaimen.

Tällaisia toimintoja - joita olemme demonstroineet esimerkkiexploiteilla - ovat mm. uuden ylläpitotunnuksen luominen, ylläpitäjän salasanan vaihtaminen, ja vakavimmassa tapauksessa, hyökkääjän syöttämän PHP-ohjelmakoodin suorittaminen palvelimella. Tällä tavalla hyökkääjä saa myös verkkopalvelimen hallintaansa käyttöjärjestelmän tasolla.

Hyväksikäytettävyys ilman kirjautumista, vakioasetuksin, ja pavelinpuolen hallinta tekevät tästä ilmeisesti vakavimman WordPress-ytimessä raportoidun haavoittuvuuden vuoden 2009 jälkeen.

Klikki Oy ilmoitti ongelmasta 26.09. ja on työskennellyt WordPressin kanssa korjausten valmistelussa. Ne on julkaistu 20.11. ja jaettu automaattisina päivityksinä suurimpaan osaan WordPress-sivustoja. Myös Akismet-liitännäisen on kerrottu nyt estävän vaarallisten kommenttien läpi pääsyn.

Lisäksi olemme valmistaneet ongelmalta suojaavan liitännäisen ylläpitäjille, jotka eivät jostain syystä voi päivittää WordPress-versiotaan.

Tekninen tiedotteemme löytyy täältä (englanniksi). Lisätietoja löytyy sivustoltamme klikki.fi.

WordPressin suomenkielinen tiedote: tässä.

Klikki Oy on jyväskyläläinen IT-alan yritys, jolla on yli vuosikymmenen kokemus haavoittuvuustutkimuksessa.

Kysymykset: CEO Jouko Pynnönen <jouko@iki.fi>

Päivitetty 24.11.: Selvennetty ensimmäistä kappaletta. Hyväksikäyttö edellyttää lomaketta, johon voi syöttää tekstiä. Haavoittuvaa versiota käyttävä sivusto ei siis aina ole altis hyökkäykselle.

Uutisia: