חור אבטחה קריטי התגלה בתוסף UpdraftPlus

כפי שכותרת המאמר אומר, התגלה חור אבטחה קריטי שהתגלה בתוסף Updraft Plus גם הן בגירסה החינמית והן בגרסה בתשלום אשר משמש למעלה משלוש מיליון התקנות פעילות בוורדפרס.

התוסף UpdraftPlus, בעל למעלה מ3 מיליון התקנות פעילות, סובל מפגיעות קריטית שהתגלתה. הפגעה אינה מאמתת כראוי שלמשתמש יש את ההרשאות הנדרשות לגשת למזהה הלא-נפרד של גיבוי, מה שעשוי לאפשר לכל משתמש עם חשבון באתר (כגון מנוי) להוריד את הגיבוי העדכני ביותר של האתר ומסד הנתונים.

התוסף מתואר כתוסף שמאפשר ליצור גיבוי בקלות לאתר.

הפגיעות המתוארת תוקנה בגרסה 1.22.3 ומעלה, כך שבאם הנכם משתמשים בתוסף בגרסה נמוכה מזאת מומלץ לעדכן זאת.

ברצוננו להבהיר שלא אנו גילינו במקור את הפגיעות הזו. דיווח עליה גם למפתח התוסף באמצעות WPScan וjetpack.

פגיעות האבטחה בUpdraftPlus

פגם זה מאפשר לכל משתמש מחובר בהתקנת וורדפרס עם UpdraftPlus פעיל לממש את ההרשאה של הורדת גיבוי קיים, הרשאה שהייתה צריכה להיות מוגבלת למשתמשים ניהוליים בלבד. זה היה אפשרי בגלל בדיקת הרשאות חסרות בקוד הקשור לבדיקת מצב הגיבוי הנוכחי.
זה אפשר להשיג מזהה פנימי שלא היה ידוע אחרת, ולאחר מכן ניתן היה להשתמש בו כדי להעביר בדיקה עם אישור הורדה.

זה אומר שאם אתר וורדפרס שלך מאפשר למשתמשים לא מהימנים לקבל התחברות לוורדפרס, ואם יש לך גיבוי קיים, אז אתה עלול להיות פגיע למשתמש מיומן טכנית שיבין כיצד להוריד את הגיבוי הקיים. האתרים המושפעים נמצאים בסיכון לאובדן נתונים / גניבת נתונים באמצעות התוקף הניגש לעותק של הגיבוי של האתר שלך, אם האתר שלך מכיל משהו שאינו ציבורי. אנו אומרים "מיומן טכני", כי בשלב זה, לא הוכחה פומבית כיצד למנף את הניצול הזה עם זאת, אתה בהחלט לא צריך להסתמך על זה לוקח הרבה זמן, אבל צריך לעדכן מיד.
אם אתה המשתמש היחיד באתר הוורדפרס שלך, או אם כל המשתמשים שלך מהימנים, אז אתה לא פגיע, אבל אנחנו עדיין ממליצים לעדכן בכל מקרה.

מידע זה מתפרסם כעת לאחר שגירסאות מעודכנות ומאובטחות של UpdraftPlus הפכו לזמינות. במהלך הזמן הזה, רוב האתרים עודכנו.

מה יש לעשות כדי להגן על האתר שלי?

ההשפעה היא לאתרים המשתמשים בתוסף UpdraftPlus מתחת לגרסה 1.22.3

האם לקוחות MyHost מושפעים מכך?

חומת האש של Imunify360 כבר הוסיפה היום(20.2.22) את החוקים לWAF שלהם על מנת להגביר את האבטחה ממקרה זה.
הוציאו עדכון לWAF בגרסה WAF Rules v.4.49 - 

• Added rule id: 77350007 - IM360 WAF: Sensitive data disclosure vulnerability in UpdraftPlus Backup plugin for WordPress (CVE-2022-0633)
• Added rule id: 77350008 - IM360 WAF: Sensitive data disclosure vulnerability in UpdraftPlus Backup plugin for WordPress (CVE-2022-0633)
• Updated rule id: 77211190 - IM360 WAF: Remote File Access Attempt
• Updated rule id: 77316761 - IM360 WAF: Block interaction with malicious plugin

אנחנו במייהוסט אחסון אתרים, שמחים לסייע להגברת האתרים המאוחסנים בשרתינו.

בכל אופן אנו ממליצים ואף נדרש לבצע עדכון לתוסף על מנת למנוע חורי אבטחה מוסתרים נוספים אשר יכולים להיות קיימים בגרסאות הישנות של התוסף ולמנוע סיכון של איבוד או דליפת מידע.

אך אנו קוראים לכל לקוחותינו לעדכן אם הם עדיין לא עשו זאת. את התוסף UpdraftPlus ולא להסתמך רק על הWAF שלנו למקרה זה.

שווה לקרוא