Exploit στο Contact Form 7 σε πάνω από 5 εκατομμύρια ιστοσελίδες

Ανακαλύφθηκε ένα critical bug στο plugin Contact Form 7, το οποίο επιτρέπει σε έναν μη εξουσιοδοτημένο επισκέπτη να εισέλθει στον σέρβερ, να ανεβάσει αρχεία και να εκμεταλλευτεί προσωπικά δεδομένα χρηστών ή και ακόμα να καταλάβει ολόκληρη την σελίδα, αρκεί μόνο αυτή να χρησιμοποιεί το plugin.

Το patch σε αυτό το bug για το γνωστό plugin Contact Form 7 δημοσιεύτηκε στις 17/12/2020 και βρίσκεται στο update 5.3.2 του Speak to Kind 7 plugin.

Αυτό το plugin του WordPress είναι εγκατεστημένο σε περισσότερες από 5 εκατομμύρια ιστοσελίδες ενώ παραπάνω από το 70 % χρησιμοποιούν την έκδοση 5.3.1 του plugin ή ακόμα και παλαιότερη!

Το critical vulnerability (CVE-2020-35489) κατηγοριοποιείται ως bug χωρίς περιορισμούς προσθήκης αρχείου (unrestricted file add bug), σύμφωνα με την Astra Security Exploration, η οποία το ανακάλυψε στις 16/12/2020.

Γρήγορη αντιμετώπιση

“Ο plugin developer (Takayuki Miyoshi) ήταν γρήγορος στην αντιμετώπιση του bug, γνωρίζοντας την μεγάλη σημασία του. Επικοινωνήσαμε άμεσα και συνεργαστήκαμε σωστά για να βγάλουμε την ενημέρωση το συντομότερο δυνατό ώστε να αποτρέψουμε οποιαδήποτε εκμετάλλευση. Μια ενημέρωση που διορθώνει το bug έχει προστεθεί στην έκδοση 5.3.2”, σύμφωνα με την Astra. Ο άνθρωπος που βρήκε το bug, Jinson Varghese, έγραψε ότι το “κενό” που αφήνει σε έναν μη εξουσιοδοτημένο επισκέπτη του δίνει την δυνατότητα να παρακάμψει την προστασία αρχείων και ανεβάσει ένα εκτελέσιμο binary αρχείο σε μια ιστοσελίδα που χρησιμοποιεί την έκδοση 5.3.1 του plugin ή και παλαιότερες εκδόσεις.

Έτσι ο επισκέπτης μπορεί να δράσει καταστρεπτικά προς την ιστοσελίδα ή να ανακατευθύνει τους επισκέπτες σε άλλες αμφίβολες ιστοσελίδα προκειμένου να υποκλέψουν  χρήματα και προσωπικά δεδομένα.

Εκτός από την ελεύθερη περιήγηση στον ιστότοπο, ένας εισβολέας θα μπορούσε να εισέλθει στον σέρβερ που φιλοξενεί την ιστοσελίδα και να προκαλέσει και εκεί μεγάλες ζημιές, σύμφωνα με ερευνητές.

Ευκολία εκμετάλλευσης

“Το bug αυτό είναι πολύ εύκολο να εκμεταλλευτεί καθώς ο εισβολέας δεν χρειάζεται να είναι εξουσιοδοτημένος ενώ μπορεί η επίθεση να γίνει εξ αποστάσεως”, δήλωσε ο Naman Rastogi της Astra, σε μια email συνέντευξη με το Threatpost.

Ανέφερε ότι η ενημέρωση του Contact Form 7 έχει ήδη δημοσιοποιηθεί. “Οι χρήστες που έχουν ενεργοποιημένη την αυτόματη ενημέρωση του WordPress plugin, το λογισμικό ενημερώνεται τακτικά. Για όσους δεν την έχουν προτείνεται να προβούν σε άμεση ενημέρωση του plugin”, είπε στο Threatpost.

Συμπερασματικά

Με την πάροδο του χρόνου, οι κακόβουλοι χρήστες του διαδικτύου βρίσκουν ολοένα και περισσότερους καινούριους τρόπους για να βλάψουν τις επιχειρήσεις αλλά και τους πελάτες τους. Εμείς σας προτείνουμε να πάρετε όλα τα απαραίτητα μέτρα για να είστε προστατευμένοι από τέτοιους κινδύνους και να εξασφαλίσετε την ομαλή λειτουργία της ιστοσελίδας ή του eshop σας. Να είστε ιδιαίτερα προσεκτικοί στην χρήση των plugins και να επιλέγετε την σωστή φιλοξενία για τις σελίδες σας, γιατί οι πελάτες σας πρέπει να είναι πλήρως προστατευμένοι.

Bugs - ExploitseCommerce

bugcontact form 7exploit

Comments are disabled.