Figyelem! Már ötvenezer weboldal esett áldozatul egy WordPress hibának

Publikálva: 2014. augusztus 6.
 

Mintegy 50 ezer weboldalt felett vették át az irányítást támadók a MailPoet WordPress-plugin néhány hete felfedezett biztonsági hibája miatt.

Bár a kiegészítő fejlesztői egy frissítésben már befoltozták a hibát, azt a felhasználók jelentős része nem telepítette, a támadások pedig mára a sebezhetőségen keresztül több, nem a WordPress szoftverét futtató oldalra is átterjedtek.

Eddig csaknem 50 ezer weboldal esett áldozatul a MailPoet nevű WordPress-pluginban található sebezhetőségnek. A biztonsági rést nagyjából három héttel ezelőtt fedezték fel, azóta pedig több tízezer oldal felett vették át az irányítást a segítségével a támadók - ezek jelentős része ráadásul önhibáján kívül került a rosszindulatú behatolók karmai közé. Bár a népszerű, főként hírlevelek létrehozására használt kiegészítő fejlesztői azonnal kiadtak egy javítást, azt sokan nem telepítették, így saját és mások weboldalait is veszélybe sodorva.

A biztonsági hibát eredetileg felfedező Sucuri biztonsági cég szerint az elfoglalt weboldalak jó részén a MailPoet nincs is telepítve, sőt a támadás áldozatai között olyan oldalak is vannak, amelyek nem is a WordPress szoftverét futtatják. A vállalat szakértője, Daniel Cid blogposztja szerint a plugin sebezhetősége csak egy bejárati pontot jelent, amelyen keresztül a "szomszédos", azonos szerveren lévő weboldalak egyszerűen megtámadhatók és különböző "hátsó kapuk" helyezhetők el rajtuk.

A kutatók rámutattak, hogy a rosszindulatú kód, amelyet a hackerek az akcióknál használnak, a szervereken lévő összes PHP fájlt megtámadja. Egy vizsgált kliens több mint húsz oldala például kivétel nélkül megfertőződött a sebezhetőségen keresztül, annak dacára, hogy azok közül csak egy futtatta a MailPoet plugint. A biztonsági résen keresztül elért weblapok között számos Joomla és Magento platformra épülő oldal is akad.

A biztonsági rést hordozó kiegészítőt több mint 1,7 millióan töltötték le. A MailPoet eredeti funkciója, hogy az oldalak gazdái hírleveleket, értesítéseket és automatizált válaszokat készítsenek vele a felhasználóik számára. Miután a Sucuri észlelte a sebezhetőséget azonnal értesítette a plugin fejlesztőit, akik késlekedés nélkül kiadtak rá egy javítást. A frissen megjelent 2.6.7-es verziószámú frissítés az egyetlen amely nem tartalmazza a biztonsági rést, ezért a kiegészítő felhasználóinak ha még nem tették volna meg, ajánlott haladéktalanul telepíteni.