Ostatnie dni przed świętami to w branży mały sezon ogórkowy, a o czymś trzeba pisać. Oto więc mamy temat: 5 MILIONÓW INSTALACJI WORDPRESSA ZAGROŻONYCH. ŚMIERCIONOŚNA LUKA WE WTYCZCE CONTACT FORM 7.
Sprawę opisało w swoim clickbaitowym stylu kilkanaście – głównie anglojęzycznych – portali technologicznych. I w sumie nawet tego stylu nie mam im za złe – łatwo dać się ponieść emocjom, wszędzie widząc 5 MILIONÓW ZAGROŻONYCH STRON.
Przyjrzyjmy się zatem, jak zagrożenie przedstawiane jest w branżowych mediach i jak wygląda naprawdę:
- wtyczka Contact Form 7, wg niektórych najpopularniejsza wtyczka do WordPressa na świecie, ma lukę
- luka pozwala wykonać właściwie dowolny kod, czyli kompletnie przejąć stronę
- wtyczka wg mediów ma 5 milionów instalacji więc sprawa jest poważna – wszystkie te strony są rzekomo narażone
Teraz fakty
Po pierwsze, wtyczka ma 5 milionów instalacji w repozytorium WordPressa – faktycznie liczba ta może być nawet dwukrotnie większa. Czyż 10 MILIONÓW ZAGROŻONYCH STRON nie brzmiałoby lepiej?
Aby wykorzystać lukę Twój serwer musi spełniać jednocześnie 4 warunki
- musisz umożliwiać w formularzu załączanie i przesyłanie pliku – bez tego w ogóle nie ma problemu
- włączony directory indexing (czyli da się podejrzeć zawartość folderów, w których nie ma pliku index.(php|html)
- serwer nie na Apache, lub z problemem uniemożliwiającym użycie przez wtyczkę pliku .htaccess do blokowania wykonywania uploadowanych plików
- dziwna konfiguracja serwera pozwalająca uruchamiać skrypty PHP z plików typu pdf, doc itp. z podwójnym rozszerzeniem
Zaistnienie jednocześnie 4 takich warunków jest mniej więcej tak prawdopodobne, jak wyleczenie złamania otwartego strukturyzowaną wodą inż. Zięby. Przy 10 milionach instalacji może się to zdarzyć, ale dajmy ludziom spokój i nie straszmy ich przed świętami.
Niestraszenie to jedno, ale nie bagatelizujmy też kwestii bezpieczeństwa. Jest już patch, aktualizujmy, aktualizujmy – to (prawie) nigdy nie zaszkodzi. Sylwester pod godziną policyjną zapowiada się niemrawo, ale i tak lepiej spędzić go z Polsatem, niż na czyszczeniu WordPressa z malware’u.
Dzięki, trochę się przestraszyłem po mailu z cyberfolks. Wygląda na to, że nie taki diabeł straszny
Jaka ulga, że są jeszcze tak racjonalnie i samodzielnie myślące osoby. Dostawałem wręcz maile od przestraszonych klientów aby załatać lukę… której nie było. Prawda jest taka, że mało kto używa uploadu w Contact Form 7. Spike w ruchu może i był widoczny ale z tą strategią zaufanie i wiarygodność pewnie będzie maleć.