Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden

WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta on löytynyt vakava nollapäivähaavoittuvuus. Haavoittuvuuden paikkaava päivitys on havainnon jälkeen jo julkaistu. Se on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.

Tietoturva-aukon löysi Suomen johtava WordPress-ylläpitäjä Seravo. Sen ylläpitämissä palveluissa lisäosaan kohdistuvat hyökkäykset estettiin jo ennen virallisen lisäosan julkaisua. WordPress on maailman yleisin verkkosivustojen julkaisujärjestelmä, ja sitä käyttää Suomessa yli 30 prosenttia sivustoista.

”Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna”, kertoo Otto Kekäläinen Seravolta.

”Rikolliset yrittävät hyödyntää haavoittuvuutta aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua tätä aukkoa hyödyntämällä yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon”, hän sanoo.

WP FIle Manager -lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmassa ja yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.

”Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. WordPressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia”, Kekäläinen kertoo.

Löytynyt nollapäivähaavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Verkkohyökkäys pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.

”Haluamme muistuttaa, että kaikkien yritysverkkosivustojen tulisi olla aktiivisesti ylläpidettyjä ja valvottuja. Vaikka sivusto ei tunnu tärkeältä, sen kautta voidaan hyökätä edelleen muille sivustoille, jolloin tietoturvan laiminlyönyt sivuston omistaja voi olla osavastuussa”, toimitusjohtaja Kekäläinen sanoo.

Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon. Teknisempiä tietoja tietoturva-aukosta löytyy Seravon englanninkielisestä blogiartikkelista.

Täydennys 3.9.2020

Tiedotimme asiasta nopeasti ja lyhyesti Twitterissa jo maanantaina, mutta selvennettäköön vielä, että Seravo on tietoturvalupaustensa mukaisesti hoitanut tämänkin asian asiakkaidemme puolesta. Haittaliikenne WP File Manager -lisäosaan estettiin heti kun se havaittiin maanantaina aamulla, ja tietoturvatutkimusten jälkeen kaikki WP File Manager -lisäosat ensin päivitettiin, ja nyt päädyimme kokonaan poistamaan ne. Kyseinen lisäosa on ollut pitkään Seravon mustalla listalla emmekä suosittele sen käyttöä lainkaan.

Täydennys 22.9.2020

Proof-of-concept -koodi ja tarkennettu kuvaus tietoturva-aukosta on nyt julkaistu Seravon englanninkielisessä blogiartikkelissa.

Suosittelemme seuraamaan Twitterissä tiliämme SeravoFi nopeiden pikauutisten näkemiseksi.

Seravon tietoturvatiimi löysi tänään nollapäivähaavoittuvuuden WP File Manager -ohjelmistosta. Jos käytät sitä, päivitä heti versioon 6.9.
Jos olet Seravon asiakas, sinun ei tarvitse tehdä mitään, asia on jo hoidettu puolestasi.#wpfi #wordpress #tietoturva @CERTFI

— Seravo 🇫🇮 (@SeravoFi) September 1, 2020

Hyväksy evästetyypit statistics, marketing katsoaksesi tämän sisällön.

Hyväksy evästetyypit statistics, marketing katsoaksesi tämän sisällön.

Lisätietoja

Lue lisää aiheesta:

• MTV: Suomalaisyhtiö löysi vakavan tietoturva-aukon – koskee maailmanlaajuisesti yli 700 000:ta verkkosivua
• YLE: Suomalaisyhtiö löysi vakavan tietoturva-aukon WordPress-julkaisualustan laajasti käyttämästä lisäosasta
• Iltalehti: Suomalaisyhtiö löysi aukon: 700000 verkkosivua vaarassa, hyökkäykset käynnissä
• Tivi: Suomalaisfirma löysi vakavan WordPress-haavoittuvuuden: ”hyökkääjälle vapaat kädet” – päivitä välittömästi
• MikroBitti: Suomalainen WordPress-ylläpitäjä löysi pahan aukon WP File Managerista – tuhannet sivustot vaarassa
• Tivi: Miljoonille WordPress-sivustolle isketty viikossa – suomalainen löysi vakavan reiän
• MikroBitti: Miljoonille WordPress-sivustoille iskettiin: suomalainen löysi vakavan reiän
• Tekniikka&Talous: WordPressissä vakava haavoittuvuus – suomalaisyhtiö löysi
• ETN: WordPressistä löytyi satojatuhansia sivustoja uhkaava aukko
• Demokraatti: Käytätkö WordPressiä? – asenna päivitys heti, suomalaisyhtiö löysi valtavan tietoturva-aukon alustan lisäosasta
• AfterDawn: WordPressin suositusta lisäosasta löytyi vakava nollapäivähaavoittuvuus – koskettaa yli 700 000 verkkosivua
• Turun Sanomat: WordPressissä vakava tietoturva-aukko – korjauspäivitys kannattaa tehdä heti
• Savon Sanomat: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700  000:ta verkkosivua
• Karjalainen: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700 000:ta verkkosivua
• Keskisuomalainen: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700 000:ta verkkosivua
• Ilkka-Pohjalainen: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700  000:ta verkkosivua
• Itä-Häme: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700 000:ta verkkosivua
• Aamuposti: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700 000:ta verkkosivua
• Länsi-Uusimaa: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700 000:ta verkkosivua
• MSN: Suomalaisyhtiö löysi vakavan tietoturva-aukon, joka koskee maailmanlaajuisesti yli 700 000:ta verkkosivua