Sérülékeny WordPress GDPR modul

Szerző: Tamás Közzétéve:

Rés az adatvédelmi pajzson

Az európai cégek jelentős része küzd a GDPR (Európai Unió adatvédelmi rendelete) megfelelőség eléréséért. Teszik ezt azért, hogy ne büntessék meg őket, illetve – tegyük fel – azért is, hogy ügyfeleik, dolgozóik személyes adatai megfelelő biztonságban legyenek.

Ennek a megfelelőségnek az elérésében segít WordPress oldalak esetén egy GDPR complience modul. Ami viszont nem túl vicces módon pont, hogy hozzájárult az adatok kiszivárgásához, vagy elvesztéséhez. A modul kódjában található (1.4.3 előtti verzióban) hibákat kihasználva ugyanis a támadók képesek adminisztrátor szintű felhasználókat felvenni, azzal belépve pedig

minden ott tárolt adathoz hozzáférni,
az oldal látogatóinak a webböngészőjét „eltéríteni”
az eltérített oldalakról pedig további kártékony kódokkal támadni a felhasználót
Ez azt jelenti, hogy egy ilyen megtámadott felhasználónak akár a gépen tárolt adatait képesek ellopni a webböngészőn keresztül, kártékony kódot (vírust, malware-t) telepíteni a gépére, vagy zombivá tenni a gépet, és egy botnet hálózat részeként további támadásokhoz felhasználni.

A kutatók arra hívják fel a figyelmet, hogy több mint 100.000 olyan weboldal van, amely ezt a GDPR modult használja – ez a magyar viszonylatban többszáz weboldalt jelenthet -, amik jelentős része a 2018 november 7-e előtt kiadott javítást is tartalmazó 1.4.3 előtti sérülékeny verzió.

Mit lehet tenni

Első sorban jujjgatni, ha ezt a modult mi is használtuk. És elgondolkozni azon, hogy hiába minden jó szándék a részünkről, ha informatikai eszközöket vagy szolgáltatásokat használunk, gyakorlatilag bármikor előfordulhat (és elő is fordul), hogy hibás, sérülékeny a rendszerünk.

Aztán pedig nem kétségbe esni, hanem elővenni az Informatikai Biztonsági Szabályzatot, és az incidens kezelés résznél kinyitni. Ha ez esetleg hiányozna, akkor bizony sokkal több a tennivalónk.

Ha megvan ez a fejezet, akkor tudjuk, hogy:

  • ideiglenesen le kell állítani a kérdéses szolgáltatást,
  • meg kell vizsgálni, hogy történt-e kompromittáció (betörés, vagy kísérlete)
  • ha igen, és van mentés, akkor vissza kell állni a biztosan hibamentes kódra
  • ha igen, de nincs offline mentés, akkor pedig meg kell keresni a weblapban bujkáló kártékony kódokat
  • le kell frissíteni a GDPR modult (itt a lehetőség a többi frissítés megejtésére is)
  • ha új adminisztrátorok jelentek meg, azokat törölni kell
  • ha a WordPress gyökérkönyvtárban szerepel a wp-cache.php fájlt, törölni kell (ez a backdoor fájl a fertőzés egyik biztos jele)
  • minden jelszót meg kell változtatni – az adminokat először, majd a felhasználóknak is küldeni kell egy felhívást róla
  • offline mentést készíteni a biztonságos kódról a későbbiekre
    megfontolni egy megfelelő Web Application Firewall telepítését és konfigurálását

A weblapunk külső vizsgálatához segítséget is kapunk. A Sucuri.net egy ingyenes malware (rossz indulatú kód) keresővel is segít, amit itt érni el: https://sitecheck.sucuri.net/

De adnak WAF modult, és weblap mentés szolgáltatást is nyújtanak.

Kategória: Blog