Пара занятных подробностей по поводу Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).
🔹 Уязвимость нашёл исследователь John Blackbourn и сдал её по программе багбаунти, получив $14400. То есть где-то 1.3 млн. рублей. Сумма за одну уязвимость, согласитесь, весьма приличная. 👏
🔹 Уязвимость не эксплуатируется на Windows инсталляциях, т.к. там отсутствует функция, которая необходима для генерации хэша. Так пишут во write-up-е. Правда не пишут, а как тогда вообще этот плагин на Windows инсталляциях работает и работает ли вообще. 🤔 Но если плагин работает и уязвимость не эксплуатируется, то получается иногда использовать Windows вместо Linux в качестве хостинга для вебсайтов это не такая уж странная затея. 🙃
Про уязвимость Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000).
🔹 WordPress - это популярная CMS-ка (835 млн. сайтов) с открытым исходным кодом и поддержкой сторонних плагинов.
🔹 LiteSpeed Cache - один из таких плагинов. Он повышает скорость загрузки страниц сайта за счёт их кэширования. Бесплатная версия используется на 5 млн. сайтов.
13 августа стало известно о критичной уязвимости в этом плагине. Удалённый неаутентифицированный злоумышленник может получить права администратора. 😱 Согласно write-up-у, эксплуатации уязвимости сводится к подбору хеша, используемого для аутентификации. Этот хеш небезопасно генерируется, поэтому существует только миллион его возможных значений. Если делать 3 запроса к сайту в секунду, то перебор и получения прав админа занимает от нескольких часов до недели.
WordPress не отъедет? В сегодняшнем посте Алексея Лукацкого про новые американские санкции зацепился глазами за WordPress. Так как это меня самого касается. 🙂
"В частности, с 12 сентября 2024 года в Россию будут запрещены поставки: … услуг поддержки и облачные сервисы («IT support services and cloud-based services») … для ПО, которое американцы называют «enterprise management software and design and manufacturing software». … Но проблема в том, что термин «enterprise management software«, упомянутый в новых санкциях очень широк и под него подпадает почти любое ПО, которое используется в корпоративном сегменте. … Кто-то к решениям класса EMS относит продукты CRM, ПО для e-mail-рассылок, CMS для поддержки и управления сайтами, ПО для управления проектами и, конечно, решения класса ERP. … Какой-нибудь WordPress, являющийся одной из самых популярных площадок для работы сайтов в Интернет, попадет ли под этот запрет?"
Имхо, расклад примерно такой (отсортировано по уменьшению вероятности):
🔻 Облачный WordPress (который на домене com), вполне вероятно, будет поблочен для России. Кажется, нужно оттуда спешно съезжать, если ещё нет. 🔻 Для CMS-ок на внешних хостингах могут перестать работать обновления. Вполне возможный расклад, т.к. разрабы в своём праве и могут отключать обновления как хотят. Например, просто фильтрацией по IP. Пользоваться WordPress без автоматических обновлений или обновлений в один клик вроде и можно, но муторно. 🔻 Для CMS-ок на внешних хостингах разрабы WordPress могут пропихнуть автоустанавливаемое зловредное обновление. Например, прокламацию на сайте разместят, заблокируют сайт или вайпнут сайт. Теоретически возможно, но пока выглядит маловероятным.
Т.к. мои сайты на WordPress на внешних хостингах это просто личные блоги, то пока не вижу причин дёргаться. Пока просто делаю бэкапы и неспешно думаю об альтернативах.
В идеале хотелось бы отечественный форк WordPress-а (благо он GNU GPL), с сопоставимым уровнем безопасности и удобства, на который можно было бы безболезненно перейти. Пусть даже и за денежку. Но пока я такой не наблюдаю. 🤷♂️
После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.
Из занимательного:
🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏 🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈
Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.
———
November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review
Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.
Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.
New Vulristics Features 00:32 Vulristics JSON input and output 02:37 CPE-based vulnerable product names detection 04:16 CWE-based vulnerability type detection
3 Months of Vulnerabilities 07:03 Linux Patch Wednesday 11:22 Microsoft Patch Tuesdays 13:59 Other Vulnerabilities
16:14 About the results of 2023 18:45 What about 2024?
Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress). В конце сентября у меня был пост о том, что неплохо бы разместить контент из телеграмм-канала на собственной площадке, потому как рано или поздно у ТГ в России начнутся проблемы.
В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇
Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷♂️🤦♂️ Но это решаемо. 🙂
Вышло обновление, исправляющее RCE уязвимость в WordPress. Уязвимость исправляется в версии 6.4.2. CVE-шки нет и вендор характеризует её неопределенно:
"Уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, однако команда безопасности считает, что существует потенциал высокой критичности (severity) в сочетании с некоторыми плагинами, особенно при мультисайтовых инсталляций (multisite installs)." 🤷♂️
Patchstack пишут, что уязвимость экслуатабельна только в сочетании с другой PHP object injection уязвимостью. Пишут, что уязвимы версии 6.4.0 и 6.4.1, однако рекомендуют:
"как можно скорее обновить свой сайт до версии 6.4.2, даже если вы не используете версию 6.4.0 или 6.4.1."
При этом 6.4.2 это не security release, и автоматическое обновление, как видно на скриншоте, может не отрабатывать. 🤔
Имхо, лучше всё же перестраховаться и
🔹 прожать обновление до 6.4.2 🔹 перевести в сайт в режим "Automatic updates for all WordPress versions"
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
