WordPress na celowniku. Zerodium oferuje ~ $300.000 za 0-day’a (RCE 0-click)

12 kwietnia 2021, 19:01 | W biegu | 1 komentarz
Tagi:
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

WordPress to najpopularniejszy system zarządzania treścią na świecie. Według danych W3Techs, firmy analizującej rynek IT, w maju 2018 aż 30,7% stron na świecie pracowało, wykorzystując WordPressa. 

Na popularność CMS-a składa się wiele czynników. Dla osób nietechnicznych jest to świetne narzędzie ze względu na jego prostotę, z kolei dla firm i organizacji jest to najszybszy sposób na postawienie swojej strony internetowej. Podstawową funkcjonalność WordPressa można rozszerzać wtyczkami, których istnieje cała masa. Wspomniane rozszerzenia można tworzyć za pomocą prostego i popularnego języka PHP, dzięki czemu potencjalny klient bez problemu znajdzie programistę gotowego do podjęcia rękawicy i stworzenia własnej, niestandardowej wtyczki. Dla przykładu, z WordPressa korzysta PlayStation, sekurak, niebezpiecznik, agencja wywiadu, biały dom czy informatyk zakładowy.

* Sekurak również korzysta z WordPressa

WordPress na celowniku

Jeden z najpopularniejszych brokerów exploitów – Zerodium, ogłosił zapotrzebowanie na 0-day do WordPressa:

Exploit musi działać z najnowszym WordPressem w domyślnej konfiguracji i bez interakcji użytkownika. Po spełnieniu powyższych kryteriów, możemy liczyć na kwoty rzędu $300.000, czyli około ~ 1.142.610 PLN. Jest to niepokojąca wiadomość z co najmniej kilku powodów…

Ostatni tego typu komunikat pojawił się w listopadzie 2020 roku. Oznacza to, że ogłoszenie na temat WordPressa jest dyktowane popytem ze strony “klientów”. Zerodium twierdzi, że ich wszystkich “weryfikuje”:

W praktyce jednak firma umożliwia krajom takim jak chociażby Arabia Saudyjska na wykorzystywanie podatności do nieetycznych celów, np. do inwigilacji dziennikarzy:

* Research CitizenLab na temat wykorzystywania “Pegasusa” do inwigilacji dziennikarzy.   Pegasus wykorzystuje 0-day’e, które można zakupić np. od Zerodium…

Jedną z popularniejszych wymówek, stosowanych przez firmy takie jak Zerodium, jest “zwalczanie terroryzmu”:

Exploity do iOSa czy Androida jak najbardziej wpisują się w potencjalny arsenał do operacji antyterrorystycznej (inwigilacja celu). Sprawa ma się nieco inaczej w przypadku exploitów do WordPressa, gdyż o wiele trudniej znaleźć tutaj ich przydatność w “zwalczaniu terroryzmu”. Z pomocą przychodzi Google:

Znakomita większość stron z wiadomościami korzysta z WordPressa. Kraje, które łamią prawa człowieka, mogą za pomocą takiego 0-day’a “uciszać” niewygodne dzienniki czy wręcz “edytować” po cichu nieprzychylne artykuły…

Podsumowanie

Wprawdzie większość exploitów można wykorzystać również w “dobrym” celu, tak w  przypadku WordPressa potencjalne wykorzystanie nasuwa się samo. Na 0-day’e ciężko się dobrze “przygotować”, lecz jeśli korzystasz z WordPressa, to pamiętaj o regularnych aktualizacjach oraz zwracaj szczególną uwagę na wtyczki, gdyż to właśnie one są w większości przypadków wektorem ataków…

~ Jakub Bielaszewski 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Plus jak zawsze zapominają wszyscy ewidentnie o zabezpieczeniu WordPress jak i samego serwera, na którym WordPress jest zainstalowany.

    Odpowiedz

Odpowiedz