Критическая уязвимость в плагине Slider Revolution: требуется обновление

Команда безопасности Sucuri предала гласности критическую уязвимость, найденную не так давно в плагине WordPress Slider Revolution. Баг был с тех пор исправлен, однако команда разработчиков Slider Revolution хранила молчание об этом и никак не уведомила своих пользователей о важности обновления.

Популярный коммерческий плагин для создания слайдеров был размещен на Codecanyon, филиале EnvatoMarket. Слайдер поставляется вместе с некоторыми темами, такими как Avada, которая, к слову, входит в топ по продажам на Themeforest. Также он поставляется и с другими популярными темами, такими как X Theme, uDesign и Jupiter; помимо этого, плагин независимо используется на тысячах разных сайтов.

Детали уязвимости

Это достаточно неприятная уязвимость безопасности, которая фактически позволяет любому человеку получить доступ к учетным данным вашей БД, и, соответственно, ко всему остальному. Уязвимость позволяет атакующему загружать любой файл на сервер, включая файл wp-config.php, который дает хакеру полный доступ к вашему сайту. Sucuri показали пример того, как можно легко получить доступ к файлу wp-config, эксплуатируя данную уязвимость:

http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

«Это тип уязвимости известен как атака Local File Inclusion (LFI)», говорят Sucuri. «Атакующий может получить доступ к серверу, просмотреть файлы, загрузить локальный файл на сервер».

Уязвимость в Slider Revolution была изначально описана на разных андеграундных форумах, прежде чем авторы плагина решили ее втихаря поправить. Команда бангладешских хакеров опубликовала свое видео на Youtube, показывающее, как эксплуатировать уязвимые сайты.

Предупреждение, связанное с угрозой безопасности, указывает на то, что уязвимость активно используется на сайтах. Уязвимость ставит под риск компании, занимающиеся бизнесом, а также правительственные учреждения.

Sucuri проанализировали журналы доступа WAF и подтвердили, что сегодня «64 разных IP-адреса пытались инициировать эту уязвимость более чем на 1000 разных сайтов в нашей среде».

Пользователям советуют немедленно обновить плагин

Если вы используете плагин Slider Revolution на своем сайте, вы должны сразу же обновиться, чтобы избежать проблем с этой критической уязвимостью. Вы должны также просканировать ваши файлы и вашу базу данных, чтобы определить факт взлома и принять соответствующие меры, позволяющие предотвратить будущие атаки.

Хотя проблема и была исправлен в версии 4.2 плагина, выпущенной 25 февраля, в журнале изменений это было описано как «исправление безопасности». Пользователи с того момента оставляли комментарии на странице продукта в Codecanyon, выражая свое негодование по поводу того, что их не уведомили об этом:

«Вы должны были сказать нам про важность обновления. Я подписан на уведомления и обновления, но единственный путь, которым я узнал об этом – прочитал пост в блоге Sucuri».

Команда ThemePunch, создатели плагина, как утверждается, связывались с разными компаниями за советом по поводу обеспечения безопасности.

«Мы активно обсуждали этот вопрос с руководством Security Companies, и они посоветовали нам провести тихое обновление», ответил представитель ThemePunch. Также он сослался на автоматическую систему обновления, которой могут воспользоваться клиенты для получения уведомлений в будущем.

«У нас есть система Update для автоматических обновлений, в которой вы можете зарегистрироваться, как только вы приобрели какой-либо товар; эта система будет сообщать вам о новых обновлениях».

Риск использования бесплатных или коммерческих расширений без автоматических уведомлений

Если вы используете коммерческий плагин или тему, которые не имеют автоматической системы уведомлений или полагаются только на электронную почту, чтобы уведомлять вас об обновлениях, вы должны активно следить за поступающей информацией, чтобы обезопасить себя. Критическая уязвимость системы безопасности, как в случае с Slider Revolution, может легко «положить» ваши сайты, если вы не будете вовремя обновляться. Авторы тем не всегда обновляют связанные (поставляемые вместе с темами) плагины. Пользователи таких тем не могут воспользоваться системой автоматического обновления, которая предлагается авторами плагина.

Такая угроза безопасности не смогла бы затронуть столько сайтов, если бы плагин Slider Revolution не поставлялся вместе с некоторыми темами. Привязка коммерческих плагинов к темам делает неясным то, как пользователи могут получать обновления этих плагинов. Даже с системой автоматических уведомлений пользователи по-прежнему остаются уязвимыми благодаря разработчикам, которые обновляют все в фоновом режиме, и никак не уведомляют пользователей о критическом обновлении безопасности. Пользователи могут защитить себя от таких ситуаций, просто отказавшись от покупки тем со встроенными плагинами/функциональностью.

Блог про WordPress
Комментарии: 4
  1. Egor

    Думаю критично это в большинстве для высокопосещаемых сайтов, но на всякий случай убрал с одного из своих сайтов)

    1. Дмитрий (автор)

      Все верно, но лучше подстраховаться.

  2. Стелла

    Вопрос может быть глупый — а не уязвимы ли вообще все слайдеры? Давно, конечно, уже это было с этим слайдером, но до сих пор в логах вижу как боты сканируют мой сайт на наличие каких то слайдеров. Вот есть в теме Парабола возможность включить слайдер, но… боюсь это сделать.))
    Кстати, уже второй день подряд нахожу в выдаче ваш сайт (хотя он уже и так пару месяцев как в закладках моих — вместе с несколькими десятками других, тоже очень полезных). Интересно пишите, спасибо.))

    1. Дмитрий (автор)

      Спасибо за отзыв)
      Вообще, уязвимы только определенные версии слайдеров, потому боты и сканируют сайт в попытках выявления таких версий.
      Идеальный вариант — это, конечно, коммерческие слайдеры. Но и многие бесплатные слайдеры тоже вполне подойдут. Мне лично очень нравится Revolution Slider, но он платный и требует некоторой технической подготовки, поскольку в нем нужно уметь работать с анимацией слайдов (хотя бы базово — знать, как расставлять элементы на временной шкале, как задавать эффекты и т.д.). При этом он позволяет делать реально крутые слайдеры, напоминающие Flash, с кучей опций — к примеру, можно отключать слайдеры для мобильных устройств, применять параллакс, использовать многочисленные шаблоны и т.д.

Добавить комментарий

Получать новые комментарии по электронной почте.