Pilne! Groźna luka w Contact Form 7 dla WordPress

Najpopularniejsza (i najlepsza) wtyczka formularza kontaktowego do WordPress, Contact Form 7 w wersji 5.3.1 jest podatna na groźną lukę, pozwalającą na zdalne przesłanie dowolnego pliku i wykonanie go na serwerze WordPress. Contact Form 7 obsługuje aż 5 milionów stron na całym świecie, a exploit jest bardzo prosty do wykonania. Należy natychmiast zabezpieczyć WordPress, przez dokonanie automatycznej aktualizacji wtyczki.

Popularny Contact Form 7 z punktu widzenia panelu admina

Jak zaktualizować wtyczkę?

Aby zaktualizować wtyczkę, należy przejść do panelu admina, a następnie kliknąć „Zainstalowane wtyczki” – „Aktualizuj wtyczkę” na liście obok pluginu Contact Form 7. Wtyczki można też aktualizować klikając przycisk z ikoną aktualizacji na górnym pasku ekranu.

Poza tym, polecam też zainstalować wtyczkę Wordfence, która jest dodatkowym firewallem i dość skuteczną blokadą przeciw wielu typom ataków typu brute force, XSS, LSI, wstrzykiwanie MySQL, etc.

Na czym polega exploit?

Znakomita wtyczka autorstwa japończyka Takayuki Miyoshi jest najpopularniejszym formularzem kontaktowym WordPressa. Do tej pory nie zdarzały się w niej poważne błędy, jednak przedwczoraj grupa Astra Security opublikowała przykład wykorzystania błędu, a Miyoshi od razu dodał fix do wtyczki. Oznacza to, że potencjalnie 5 milionów stron jest podatnych na łatwy do wykonania atak przejęcia strony. Exploit może być wykorzystany poprzez użycie nieprawidłowo sanityzowanych parametrów przesyłania plików, co jest typowym błędem wtyczek WordPressa. W tej chwili tylko około 20% użytkowników WP pobrało aktualizację, co oznacza, że 4 miliony stron nadal są podatne. Błąd działa w wersji 5.3.1, ale też w starszych wersjach Contact Form 7.

Co może być rezultatem exploitu?

Przejęcia strony odbywają się automatycznie, a rezultatem jest najczęściej dodanie podstron ze spamem, indeksujących się potem bez wiedzy użytkownika. Przykładem może być żenująca sprawa shakowanej strony „Katedry Informatyki” Uniwersytetu Ekonomicznego w Poznaniu.

Rzadziej hakerzy podmieniają stronę główną na taką jak ta, która ma głównie na celu pochwalenie się umiejętnościami script kiddies, z Malezji albo Pakistanu, ściagającymi gotowe exploity:

Pozbycie się później infekcji jest często trudne, ponieważ wymaga to odnalezienia zainfekowanego pliku w dziesiątkach tysięcy plików WordPressa. Oczywiście haker może też skasować całą stronę – jednak rzadko się to zdarza. Pomaga w tym wspomniany Wordfence, który automatycznie porównuje oryginalne pliki i wyszczególnia te, w których dodano niepasujące linie kodu. Tutaj napisałem też kilka słów o tym, jak usunąć wirus z WordPress gdyby wam się to już zdarzyło. Najlepiej oczywiście dmuchać na zimne i na bieżąco aktualizować własną stronę.