29 tūkstančiai atakų per mėnesį: viena PHP klaida leido užgrobti tūkstančius WordPress svetainių

Prieš trejus metus vienas klientas man paskambino vidury nakties. Jo „WordPress" svetainė, kurioje buvo keli tūkstančiai klientų duomenų, staiga pradėjo rodyti svetimą turinį — reklamas, nuorodas į sukčiavimo puslapius, keistus administratoriaus įrašus. Paaiškėjo, kad kažkas sukūrė administratoriaus paskyrą tiesiai per formų įskiepio spragą, kurios niekas net neįtarė esant. Šiandien, birželio pradžioje, panaši istorija kartojasi su kitu įskiepiu — bet šį kartą mastas didesnis, o spraga pavojingesnė.

Kritinė pažeidžiamybė CVE-2026-3300, rasta „Everest Forms Pro" įskiepyje, leidžia užpuolikams visiškai perimti „WordPress" svetainę — ir tam nereikia jokio prisijungimo. Pakanka, kad svetainėje būtų įdiegta pažeidžiama įskiepio versija (1.9.12 ir senesnė), o ataka įvykdoma per paprastą formos laukelį.

Techninis paaiškinimas atrodo beveik absurdiškai paprastas, ir būtent tai daro situaciją tokią rimtą. „Everest Forms Pro" turi funkciją „Complex Calculation", kuri priima reikšmes iš formos laukelių ir įterpia jas į PHP kodo eilutę. Vėliau ši eilutė vykdoma naudojant PHP funkciją `eval()` — vieną pavojingiausių PHP kalbos funkcijų, kuri tiesiogiai paleidžia bet kokį jai paduotą kodą.

Nors įskiepis naudoja `sanitize_text_field()` funkciją įvesties valymui, ši funkcija nepašalina viengubų kabučių (`'`) ir kitų simbolių, kurie gali keisti PHP sintaksės struktūrą. Užpuolikui tereikia formos laukelyje pradėti tekstą vienguba kabute — taip uždaroma pradinė teksto eilutė, o po jos galima įterpti savavališką PHP kodą. Galiausiai dvigubas pasvirasis brūkšnys (`//`) užkomentuoja likusį sugeneruotą kodą, užkertant kelią sintaksės klaidoms.

Kas vyksta po to? Pasak „Wordfence" saugumo tyrėjų, užpuolikai naudoja šią spragą kurdami administratoriaus paskyras su vartotojo vardu „diksimarina". Gavę administratoriaus lygmens prieigą, jie gali daryti praktiškai viską: keisti turinį, įdiegti kenksmingus įskiepius, palikti užprogramuotus „backdoor'ius" pakartotiniam prisijungimui, pasiekti privačias duomenų bazes.

Mastai nemaži. „Wordfence" užkarda ir kenkėjiškų programų skaitytuvas nuo balandžio 13 dienos, kai prasidėjo aktyvus išnaudojimas, užblokavo daugiau nei 29 300 bandymų. Atakos pirmiausia kyla iš dviejų IP adresų: 202.56.2.126 ir 209.146.60.26, tačiau „Wordfence" ataskaitoje pateikiami ir papildomi kenkėjiški IP adresai kaip kompromitavimo indikatoriai.

Pažeidžiamumą vasario mėnesį „Wordfence" programai pateikė saugumo tyrėjas h0xilo. Kūrėjas išleido pataisą kovo 18 dieną — tačiau iki tol, kol visi administratoriai atnaujino įskiepius, praėjo beveik mėnuo, per kurį atakos spėjo įsibėgėti.

Ką daryti svetainės administratoriams? Pirmiausia — nedelsiant atnaujinti „Everest Forms Pro" į naujausią versiją. Antra, peržiūrėti administratoriaus paskyrų sąrašą ir ieškoti įtartinų vartotojų, ypač su vardu „diksimarina". Trečia, peržiūrėti serverio žurnalus dėl neįprastos veiklos. Ketvirta, blokuoti minėtus IP adresus ugniasienės lygmenyje.

Šis incidentas dar kartą primena, kad `eval()` funkcija PHP kode su vartotojo įvestimi yra katastrofos receptas — ir kad net populiariausių įskiepių kūrėjai kartais priima architektūrinius sprendimus, kurių pasekmės išryškėja tik po kelerių metų.