Архив метки: WordPress

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

1 комментарий

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)

Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).

🔹 WordPress - это популярная CMS-ка (835 млн. сайтов) с открытым исходным кодом и поддержкой сторонних плагинов.

🔹 LiteSpeed Cache - один из таких плагинов. Он повышает скорость загрузки страниц сайта за счёт их кэширования. Бесплатная версия используется на 5 млн. сайтов.

13 августа стало известно о критичной уязвимости в этом плагине. Удалённый неаутентифицированный злоумышленник может получить права администратора. 😱 Согласно write-up-у, эксплуатации уязвимости сводится к подбору хеша, используемого для аутентификации. Этот хеш небезопасно генерируется, поэтому существует только миллион его возможных значений. Если делать 3 запроса к сайту в секунду, то перебор и получения прав админа занимает от нескольких часов до недели.

👾 На GitHub выложили PoC и злоумышленники уже активно эксплуатируют уязвимость.

Обновляйтесь до версии 6.4.1 и выше.

WordPress не отъедет?

Добавить комментарий

WordPress не отъедет?

WordPress не отъедет? В сегодняшнем посте Алексея Лукацкого про новые американские санкции зацепился глазами за WordPress. Так как это меня самого касается. 🙂

"В частности, с 12 сентября 2024 года в Россию будут запрещены поставки:

услуг поддержки и облачные сервисы («IT support services and cloud-based services»)

для ПО, которое американцы называют «enterprise management software and design and manufacturing software».

Но проблема в том, что термин «enterprise management software«, упомянутый в новых санкциях очень широк и под него подпадает почти любое ПО, которое используется в корпоративном сегменте.

Кто-то к решениям класса EMS относит продукты CRM, ПО для e-mail-рассылок, CMS для поддержки и управления сайтами, ПО для управления проектами и, конечно, решения класса ERP.

Какой-нибудь WordPress, являющийся одной из самых популярных площадок для работы сайтов в Интернет, попадет ли под этот запрет?"

Имхо, расклад примерно такой (отсортировано по уменьшению вероятности):

🔻 Облачный WordPress (который на домене com), вполне вероятно, будет поблочен для России. Кажется, нужно оттуда спешно съезжать, если ещё нет.
🔻 Для CMS-ок на внешних хостингах могут перестать работать обновления. Вполне возможный расклад, т.к. разрабы в своём праве и могут отключать обновления как хотят. Например, просто фильтрацией по IP. Пользоваться WordPress без автоматических обновлений или обновлений в один клик вроде и можно, но муторно.
🔻 Для CMS-ок на внешних хостингах разрабы WordPress могут пропихнуть автоустанавливаемое зловредное обновление. Например, прокламацию на сайте разместят, заблокируют сайт или вайпнут сайт. Теоретически возможно, но пока выглядит маловероятным.

Т.к. мои сайты на WordPress на внешних хостингах это просто личные блоги, то пока не вижу причин дёргаться. Пока просто делаю бэкапы и неспешно думаю об альтернативах.

В идеале хотелось бы отечественный форк WordPress-а (благо он GNU GPL), с сопоставимым уровнем безопасности и удобства, на который можно было бы безболезненно перейти. Пусть даже и за денежку. Но пока я такой не наблюдаю. 🤷‍♂️

После продолжительного перерыва выпустил англоязычную видяшку и блогопост

Добавить комментарий

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review

Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.

New Vulristics Features
00:32 Vulristics JSON input and output
02:37 CPE-based vulnerable product names detection
04:16 CWE-based vulnerability type detection

3 Months of Vulnerabilities
07:03 Linux Patch Wednesday
11:22 Microsoft Patch Tuesdays
13:59 Other Vulnerabilities

16:14 About the results of 2023
18:45 What about 2024?

📘 Blogpost
🎞 VKVideo

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress)

1 комментарий

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress)

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress). В конце сентября у меня был пост о том, что неплохо бы разместить контент из телеграмм-канала на собственной площадке, потому как рано или поздно у ТГ в России начнутся проблемы.

В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇

Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷‍♂️🤦‍♂️ Но это решаемо. 🙂

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

Добавить комментарий

Прожектор по ИБ, выпуск №15 (09.12.2023): Нейролингвистические атаки на ИИ

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по прошлому эпизоду
01:56 Про конференцию Код ИБ Итоги 2023
08:14 Фишинговая атака на админов WordPress и настоящая RCE
13:39 У NVD превратятся в тыкву фиды и API 1.0, что делать?
17:36 Нейролингвистические атаки на ИИ и автоматическая конвертация BASH в Python
26:00 Стратегия развития области связи
34:17 Премия Киберпросвет
38:59 Прощание от Mr.X

Вышло обновление, исправляющее RCE уязвимость в WordPress

1 комментарий

Вышло обновление, исправляющее RCE уязвимость в WordPress

Вышло обновление, исправляющее RCE уязвимость в WordPress. Уязвимость исправляется в версии 6.4.2. CVE-шки нет и вендор характеризует её неопределенно:

"Уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, однако команда безопасности считает, что существует потенциал высокой критичности (severity) в сочетании с некоторыми плагинами, особенно при мультисайтовых инсталляций (multisite installs)." 🤷‍♂️

Patchstack пишут, что уязвимость экслуатабельна только в сочетании с другой PHP object injection уязвимостью. Пишут, что уязвимы версии 6.4.0 и 6.4.1, однако рекомендуют:

"как можно скорее обновить свой сайт до версии 6.4.2, даже если вы не используете версию 6.4.0 или 6.4.1."

При этом 6.4.2 это не security release, и автоматическое обновление, как видно на скриншоте, может не отрабатывать. 🤔

Имхо, лучше всё же перестраховаться и

🔹 прожать обновление до 6.4.2
🔹 перевести в сайт в режим "Automatic updates for all WordPress versions"

Фишинговая атака на администраторов сайтов на WordPress

1 комментарий

Фишинговая атака на администраторов сайтов на WordPress

Фишинговая атака на администраторов сайтов на WordPress. Гениально и просто. 🙂 Админам сайтов приходит поддельное письмо, якобы от WordPressOrg, с призывом установить плагин для исправления RCE уязвимости CVE-2023-45124. На NVD для этой уязвимости CVE ID Not Found, но, учитывая какой там сейчас бардак, это бы и меня не особо смутило. 😅

В письме ссылка на фишинговый сайт с описанием вредоносного плагина, отзывами, оценками, всё как на официальном сайте с плагинами. Плагин скачивается как zip-архив. После установки и активации плагина создаётся админская учётка wpsecuritypatch, пароль от неё передается на сервер злоумышленников, устанавливается P.A.S. бэкдор, плагин и учётка скрываются в админке. 😈

Разумеется, похожую атаку могут проворачивать и для какой-нибудь другой CMS-ки, того же Битрикса. Будьте внимательнее.