Nieprzedłużona domena, WordPress i skrypt JavaScript

Aplikacje WWW narażone są na wiele zagrożeń; czasem są to klasyczne wektory ataku znane z OWASP Top 10, innym razem okazuje się, że potencjalna luka bezpieczeństwa “aktywuje się” dopiero po jakimś czasie.

Sucuri donosi o przypadku odkrycia nierozwijanej wtyczki Enmask Captcha dla CMS WordPress, która ładowała skrypt JavaScript z zewnętrznej domeny. Nie byłoby w tym nic nadzwyczajnego gdyby nie fakt, że wtyczka przestała być rozwijana lata temu, a domena z której skrypt był ładowany nie została wykupiona przez jej pierwotnego właściciela na kolejne lata. Okazało się, że adres enmask.com został przejęty przez osobę, która wykorzystała ją do uruchomienia własnego serwisu, który hostował złośliwy skrypt. Przypomina to sprawę z serwisem firmy TP-Link, gdzie nie przedłużona została domena tplinklogin.net. Różnica pomiędzy tymi dwoma sytuacjami polegała na tym, że w przypadku TP-Linka domena rozwiązywana była na lokalny, prywatny adres IP. W przypadku wtyczki Enmask Captcha tak się jednak nie działo, przez co faktycznie dochodziło do wstrzyknięcia nieautoryzowanego kodu.  

Wygląda więc na to, że do listy zadań jakie należy wykonać przy okazji opieki nad starymi, nie aktualizowanymi instancjami WordPress, warto dopisać weryfikację źródeł z jakich aplikacja ładuje zasoby. Należy pamiętać, że próba załadowania skryptu może nastąpić dopiero przy operacjach wykonywanych w panelu administracyjnym. Jako ogólnie zalecenie, w przypadku gdy ładujemy skrypty z zewnętrznych zasobów, zalecamy zastosować Subresource Integrity.

— piochu