Każde oprogramowanie warto aktualizować - wtedy, oprócz nowych funkcji otrzymujemy również pewność, że znane, poważne błędy są załatane i do czasu odkrycia kolejnych nie musimy się raczej martwić. Jednak nie każdy wychodzi z założenia, że warto aktualizować silnik zarządzający treściami na swojej stronie - wysyp przypadków podmian strony przez cyberprzestępców z powodu luki w starszej wersji Wordpressa potwierdza tylko niechlujstwo użytkowników.
Strony oparte na starszych wersjach Wordpressa (głównie 4.7.0 oraz 4.7.1) są masowo przejmowane przez cyberprzestępców. Atakujący zdążyli już podmienić ponad 1,5 miliona stron na 39 000 domenach. W poniedziałek, kiedy wskazywano na pierwsze ataki z wykorzystaniem podatności w REST API Wordpressa, atakujący zdążyli już podmienić 67 000 stron. Następnego dnia ta liczba wzrosła do 100 000.
Błąd w REST API, który pozwala na podmianę zawartości strony internetowej został załatany w kolejnej wersji Wordpressa oznaczonej numerem 4.7.2, która została opublikowana 26 stycznia. Ekipa Wordpressa oraz Securi, które były świadome podatności, trzymały ją w tajemnicy nawet tuż po tym, jak opublikowano łatki bezpieczeństwa, jednak nie można było tego sekretu utrzymywać w nieskończoność. Ostatecznie, cyberprzestępcy odnaleźli tę lukę i zaczęli ją wykorzystywać w przypadku stron, które nie dokonały jeszcze uaktualnienia do najwyższej wersji Wordpressa, która nie zawiera już niebezpiecznego błędu.
Poszukując informacji o tych atakach, zdecydowałem się w Google wpisać frazę "hacked by imam", by sprawdzić, jak dużo stron internetowych zostało przejętych. Dane zgromadzone przez BleepingComputer zawierają w sobie jedynie liczby pozyskane na podstawie stron chronionych przez WordFence oraz Securi. Zatem, zasięg ataków może być znacznie większy, niż podają media.
Kto jest winien? Oczywiście człowiek
I rzeczywiście, wyszukując śladów ataków w Google można znaleźć sporo stron, w których podmieniono ich zawartość. Oczywiście, jest to skutek niedbalstwa administratorów, którzy nie zaktualizowali swojego Wordpressa do wyższej wersji od razu, kiedy pojawił się na ten temat odpowiedni monit. W dalszym ciągu, aktualizowanie oprogramowania na serwerach nie weszło w krew właścicielom stron internetowych - to zaś sprzyja rozprzestrzenianiu się tego typu zagrożeń.
Securi i WordFence szacują, że istnieje 20 podstawowych grup, które przejmują strony oparte na starszych wersjach Wordpressa, ale może być ich znacznie więcej. Największym atakującym jest włamywacz nazywający sam siebie "Imam", który może się "pochwalić" niemal 14 000 przejętymi stronami internetowymi. To naprawdę zawrotne liczby. Jak wspomniałem wyżej, tego typu witryn może być znacznie więcej.
Dlatego też, administratorzy stron powinni pilnować swoich stron internetowych. Najgorsze, co można zrobić, to zignorować monit o czekającej aktualizacji oprogramowania znajdującego się na naszym serwerze. Ale nie tyczy się to tylko stron - podobnie należy robić ze smartfonami, routerami, komputerami i innymi sprzętami.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu