3 600 bandymų per parą: populiariausias žemėlapių įskiepis atvėrė WordPress svetainių duris

Jei jūsų verslo svetainė naudoja žemėlapių įskiepį WP Maps Pro, yra didelė tikimybė, kad kažkas jau bandė pasinaudoti jūsų administravimo pultu be jūsų žinios. Praėjusią parą „Wordfence" saugumo komanda užfiksavo daugiau nei 3 600 bandymų išnaudoti kritinę šio įskiepio spragą — ir skaičius tik didėja.

Pažeidžiamumas, pažymėtas kodu CVE-2026-8732, laikomas kritinio sunkumo ir veikia visas WP Maps Pro versijas iki 6.1.0. Įskiepis turi daugiau nei 15 800 pardavimų „Envato Market" platformoje, o jį naudoja ne tik smulkūs tinklaraštininkai, bet ir nekilnojamojo turto agentūros, kelionių portalai, prekybos tinklai — visi, kuriems reikia žemėlapyje atvaizduoti savo objektus ar padalinius.

Saugumo tyrėjas Davidas Brownas, aptikęs šią spragą, nustatė, kad problema slypi ten, kur mažiausiai tikiesi. WP Maps Pro turi „laikinos prieigos" funkciją — ji skirta tam, kad įskiepio kūrėjų pagalbos komanda galėtų prisijungti prie kliento svetainės ir padėti išspręsti techninius nesklandumus. Idėja gera, tačiau įgyvendinimas — katastrofiškas.

Paaiškėjo, kad AJAX sąsajos taškas, atsakingas už šią laikiną prieigą, buvo pasiekiamas visiškai neautentifikuotiems vartotojams. Vienintelė „apsauga" buvo viešai matoma nonce reikšmė, įterpta tiesiai į priekinio pulto JavaScript kodą. Tai tas pats, kas palikti seifą atrakintą, o raktą pakabinti ant durų su užrašu „prašom neimti".

Kai užpuolikas išsiunčia specialiai suformuotą užklausą su parametru check_temp=false, sistema paklusniai sukuria naują WordPress vartotoją su administratoriaus teisėmis, atsitiktiniu vartotojo vardu ir fiksuotu el. pašto adresu [email protected]. Tada sugeneruojamas „stebuklingas prisijungimo URL" — nuoroda, kurią atidarius užpuolikas akimirksniu patenka į svetainės valdymo pultą. Jokio slaptažodžio, jokios dviejų faktorių autentifikacijos, jokių įspėjimų.

Turėdamas administratoriaus teises, įsilaužėlis gali daryti bet ką: įkelti kenkėjiškus įskiepius, įdiegti nuolatines užkulisių prieigas, keisti ar trinti turinį, pasiekti privačius klientų duomenis, pavogti visą svetainės duomenų bazę. „Tai ne teorinė grėsmė", pabrėžia „Defiant" saugumo tyrėjai. Jų stebėjimo sistemos jau fiksuoja aktyvias atakas prieš pažeidžiamas svetaines.

Ši istorija atskleidžia ir platesnę problemą. WordPress ekosistema, kurioje sukasi dešimtys tūkstančių trečiųjų šalių įskiepių, jau seniai yra mėgstamiausias įsilaužėlių taikinys. „Premium" įskiepiai dažnai suvokiami kaip saugesni vien todėl, kad jie mokami, tačiau WP Maps Pro atvejis įrodo priešingai. Kūrėjai kartais diegia patogias funkcijas negalvodami apie saugumo pasekmes — ir sumoka visi.

Chronologija taip pat kelia klausimų. Brownas apie pažeidžiamumą „Wordfence" programai pranešė dar kovo 24 dieną. Tačiau įskiepio kūrėjas „Flippercode" buvo informuotas tik gegužės 16-ąją, kai išnaudojimas buvo pilnai patvirtintas. Gegužės 20 dieną pagaliau pasirodė WP Maps Pro 6.1.1 versija su pataisymu — praėjus beveik dviem mėnesiams nuo pirminio pranešimo.

Visgi dabar laukti nebėra kada. Svetainių administratoriams rekomenduojama nedelsiant atnaujinti įskiepį iki naujausios versijos, patikrinti vartotojų sąrašą dėl įtartinų administratoriaus paskyrų ir apsvarstyti papildomus saugumo sluoksnius — bent jau dviejų faktorių autentifikaciją visoms administratoriaus paskyroms. 3 600 bandymų per parą yra signalas, kurio ignoruoti negalima, nes tokių atakų sėkmė reiškia ne tik prarastą svetainės kontrolę, bet ir potencialų klientų duomenų nutekėjimą.