Majitelé webů si začali stěžovat na hackování webových stránek jen hodinu poté, co WordPress veřejně publikoval informaci o obsahu zranitelnosti v REST API (popsané v našem bezpečnostním bulletinu SB2017012702 #4). Zranitelnost, o které mluvíme, byla tiše záplatovaná ve verzi 4.7.2 a odhalena pár dní poté společně s ostatními zranitelnosti v bezpečnostním bulletinu.
Hodně lidí začalo kritizovat WordPress pro zadržování informací o záplatě, což vyvolalo určité osobní obavy. Avšak jak můžeme vidět, bylo to správně rozhodnutí a mnoho lidí bylo schopno záplatovat své WordPressové instance ještě před opravdovým vypuknutím hrozby.
V současnosti můžeme vidět automatizované útoky exploitující zranitelnost v REST API. Požadavek na webovou stránku vypadá následovně:
1) Útočník pošle požadavek na URL:
http://[host]/index.php/wp-json/wp/v2/posts/,
2) Získá poslední identifikátor postu
3) Pošle požadavek získánému identifikátoru a vloží následující obsah:
Hacked By <Přezdívka hackera>
např.:
Hacked By BALA SNIPER
nebo
Hacked By MuhmadEmad
Evidence hacknutých webů s doménou .cz podle Google:
Pokud uvidíte tuto stránku na vašem webu, Váš web byl napaden. Podle Sucuri, tato zranitelnost může být použita ke spuštění libovolného PHP kódu, pokud je kombinována s funkčností WordPress puginů třetích stran. Apelujeme na WordPress majitele, aby instalovali poslední verzi WordPressu 4.7.2 co nejrychleji.
By Cybersecurity Help =)
ze expoloity na WordPress vidim porad, ale na takovy Drupal nebo jine CMS temer zadne, cim to?
To neni ten podstatny faktor. Tim faktorem je kultura, licencni politika apod. Pak jsou za tim samozrejme taky komercni vlivy.
Drupal ma (pres vsechno spatne co v nem je) pomerne jasne API.
Drupal ma za sebou Security team, pomerne cerstve ma taky neco jako "certifikace" modulů prave od secteamu.
Drupal ma schvalovaci proces pokud chces na drupal.org pridat contrib project(modul, sablonu apod).
Drupal ma za sebou Acquia. Ma jasne vize - i ty technicke. Ma placene vyvojare. Od toho se odrazi veci jako drush, drush make, nove Console.
Tohle vsechno dohromady znamena, ze kdyz se objevil Drupalgeddon tak bezny spravce webů na Drupalu (pouziva SSH a git, pripadne rovnou nejaky CI) dokaze vse fixnout aplikaci jednoho patche na vsechny weby v radu hodin.
Typicky lepič/klikač Wordpressu (pouziva FTP na Wedosu) ani netuší, že se něco děje.
Viz nedavny clanek o tisicich zranitelnosti v pluginech WP - tam slo diletatnstvi a jasne exploity. Naproti tomu drtiva vetsina security issues u Drupalu ma v podminkach, ze uzivatel musi mit opravneni "administer NĚCO" coz dokazu zpravidla vyhodnotit tak, ze tito uzivatele jsou provereni a neni treba to resit akutne, neni to 0day, nejsou to otevrene dvere jako krava.
Ale buďme fér - i ve firmách spravujících miliardy dolarů jsou diletanti schopní nechat tenhle jedinej skutecnej pruser za historii Drupalu nezaplatovany nekolik let... (panama papers)
Wordpress lze nastavit tak, aby se aktualizace jádra instalovaly automaticky. A pak to chce samozřejmě aktualizovat pluginy a nepouštět si tam potenciálně problémové pluginy. Stejně tak neinstalovat kdejaký plugin, ale nechat si tam opravdu jenom ty ověřené, které mají aktivní vývoj a které jsou nutně potřeba. Drupal je mnohem komplexnější a asi i bezpečnější, ale ani Drupalu se problémy nevyhýbají. Základ provozování (nejen) redakčního systému, je sledovat bezpečností chyby, které se objevují a v případě, že se objeví bezpečnostní záplata, co nejrychleji systémy aktualizovat.
WP vs Drupal je věčné téma - jelikož jsem jeden z organizátorů https://2017.prague.wordcamp.org/, tak asi nebude těžké odhadnout, že u mě vede WP :-). Pokud bych si měl rýpnout, tak u mě běží 40x více WP webů než Drupalů a na Drupalech jsem řešil 2x více bezpečnostních incidentů než na WP. Záleží jen na správci (a uznávám, že toto je často u WP problém).
Každopádně čísla napadených CZ webů v článku jsou dost zkreslená, protože jsou ve výsledcích podstránky webů, kterých může být opravdu hodně.
Monitoruji zhruba 80 000 českých WP webů a právě mi jede scan na zjišťování, které byly opravdu napadené - zatím jsem našel zhruba 60 z 30 000. Zítra by měl být scan komplet hotový, přesná čísla zveřejním.
Co presne znamena 2x vice? Protoze ja resil za 10 let s Drupalem prave presne 2 bezpecnostni incidenty. Jeden byl Drupalgeddon a druha byla nejaka breberka skrze CKEditor. Jinak zadna security issue nebyla v mem pripade takova abych to musel resit.
(abych byl fer tak tam byla jeste jedna critical issue s modulem Coder, ale ten jsem nikdy nikde nemel na produkci)
A trochu mi nesedi, ze by WP mel historicky jediny bezpecnostni incident. Aspon teda vypisy z logu vypovidaji o tom, ze WP je velice lakava vstupni brana do systemu (temer vsechny 404ky jsou neco jako wp/admin.php).
Mimochodem hezkou prednasku na toto tema mel nejaky typek z Wedosu na DrupalCamp.cs v Blavě, da se to najit na youtube.
Tak článek s výsledky je venku - https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017
Nalezl jsem 0.5% napadených WP webů (= přes 300), ale zranitelnost se reálně týká 4.5% všech mě známých českých WordPress webů.
Jedná se vážnou zranitelnost, nicméně dochází "pouze" ke změně textu - data prochází sanitizací a běžně není možné vložit javascript nebo dokonce vykonat PHP. To však neznamená, že v kombinaci s nějakým dalším pluginem tam tyto zranitelnosti nevzniknou.
Jinak k předchozí otázce, s Drupalem jsem měl 4 bezpečnostní incidenty - 2x velmi primitivní heslo, 1x Drupalgeddon a 1x backdoor přinesený z jiného hostingu.
sorry, ale tady sam pises, ze jsi mel jeden jediny bezpecnostni incindent s drupalem: drupalgeddon. zbyle 3 nemaji s drupalem nic spolecneho. BTW docela by me zajimal ten utok na velmi primitivni heslo. to ho nekdo proste uhadl na 3 pokusy nebo si na to najal farmu IP adres?
Když si "admin" webu nastaví administrator/administrator, tak tolik úsilí potřeba není... Vždy záleží na tom kdo web vytvořil a na tom kdo se o něj stará. Vzhledem k rozšířenosti WP je bohužel podobných "adminů" mnohem více než u Drupalu.
Ja jsem narazel hlavne na to, ze Drupal ma zabudovanou flood protection. 3 pokusy na jednoho usera na jedne IP. S prichodem ipv6 to ztraci na ucinnosti, to je pravda. Kazdopadne admin/admin neni bezpecnostni incident zpusobeny Drupalem.
Tak to je super, to se to bude hackovat azure a deployovat vlastní apky... Viz: http://fis-cz.blogspot.cz/2017/05/ms-azure-appservice-vulnerability.html
Neznáte někdo nějaký wordpress běžící v Azure? Rád bych microsofr donutil, aby to opravil, dřív než se někomu stane něco opravdu ošklivého...
Cybersecurity Help je společnost zabývající se It bezpečností a poskytuje zpravodajské služby z oblasti IT, poradenství o webových aplikacích a bezpečnosti firem.
Přečteno 27 264×
Přečteno 17 850×
Přečteno 16 517×
Přečteno 16 149×
Přečteno 15 280×