Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden

Photo of a Jewel bug

WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta on löytynyt vakava nollapäivähaavoittuvuus. Haavoittuvuuden paikkaava päivitys on havainnon jälkeen jo julkaistu. Se on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.

WP File Manager

Tietoturva-aukon löysi Suomen johtava WordPress-ylläpitäjä Seravo. Sen ylläpitämissä palveluissa lisäosaan kohdistuvat hyökkäykset estettiin jo ennen virallisen lisäosan julkaisua. WordPress on maailman yleisin verkkosivustojen julkaisujärjestelmä, ja sitä käyttää Suomessa yli 30 prosenttia sivustoista.

”Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna”, kertoo Otto Kekäläinen Seravolta.

”Rikolliset yrittävät hyödyntää haavoittuvuutta aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua tätä aukkoa hyödyntämällä yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon”, hän sanoo.

WP FIle Manager -lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmassa ja yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.

”Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. WordPressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia”, Kekäläinen kertoo.

Löytynyt nollapäivähaavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Verkkohyökkäys pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.

”Haluamme muistuttaa, että kaikkien yritysverkkosivustojen tulisi olla aktiivisesti ylläpidettyjä ja valvottuja. Vaikka sivusto ei tunnu tärkeältä, sen kautta voidaan hyökätä edelleen muille sivustoille, jolloin tietoturvan laiminlyönyt sivuston omistaja voi olla osavastuussa”, toimitusjohtaja Kekäläinen sanoo.

Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon. Teknisempiä tietoja tietoturva-aukosta löytyy Seravon englanninkielisestä blogiartikkelista.

Täydennys 3.9.2020

Tiedotimme asiasta nopeasti ja lyhyesti Twitterissa jo maanantaina, mutta selvennettäköön vielä, että Seravo on tietoturvalupaustensa mukaisesti hoitanut tämänkin asian asiakkaidemme puolesta. Haittaliikenne WP File Manager -lisäosaan estettiin heti kun se havaittiin maanantaina aamulla, ja tietoturvatutkimusten jälkeen kaikki WP File Manager -lisäosat ensin päivitettiin, ja nyt päädyimme kokonaan poistamaan ne. Kyseinen lisäosa on ollut pitkään Seravon mustalla listalla emmekä suosittele sen käyttöä lainkaan.

Täydennys 22.9.2020

Proof-of-concept -koodi ja tarkennettu kuvaus tietoturva-aukosta on nyt julkaistu Seravon englanninkielisessä blogiartikkelissa.

Suosittelemme seuraamaan Twitterissä tiliämme SeravoFi nopeiden pikauutisten näkemiseksi.

Hyväksy evästetyypit statistics, marketing katsoaksesi tämän sisällön.
Hyväksy evästetyypit statistics, marketing katsoaksesi tämän sisällön.

Lisätietoja

Lue lisää aiheesta:

Comments

4 vastausta artikkeliin “Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden”

  1. […] esimerkillistä. Viimeksi syyskuun alussa useat suomalaiset ja kansainvälisetkin mediat kertoivat Seravon löytämästä nollapäivähaavoittuvuudesta WP File Manager -lisäosassa, josta raportoimme vastuullisesti lisäosan tekijöille ja autoimme koordinoimaan maailmanlaajuista […]

  2. […] Artikkelista saa helposti käsityksen, että haavoittuvuus koskee itse WordPress-julkaisualustaa. Todellisuudessa haavoittuvuus kuitenkin koskee kolmannen osapuolen kehittämää WordPress-lisäosaa: WP File Manageria. Alkuperäisen uutisen jonka pohjalta YLE on uutisoinut asiasta löydät täältä: Tiedote: Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden […]

  3. JR avatar
    JR

    Jännä että Ylen kirjoittamassa artikkelissa tästä haavoittuvuudesta syytetään koko WordPress alustaa, eikä edes mainita että kyseessa on vain yksi lisäosa. Eivät edes kehdanneet linkata lähteeseen, jonka mainitsevat olevan Seravo.

    1. Nuutti Toivola avatar
      Nuutti Toivola

      Hei!
      Ylen artikkelissa oli tosiaan oikaistu jättämällä oleellinen ”lisäosa” sana mainitsematta. Seravolta on lähetetty oikaisupyyntö asiasta myös Ylelle. Toivottavasti uutinen päivittyy pian!
      Sitä ennen kannattaa jättää myös oma palautteensa asiasta Ylen artikkelin alapuolelta löytyvän ”Ota yhteyttä” painikkeen kautta.