perjantai 20. syyskuuta 2013

CERT-FI: Wordpress-haavoittuvuutta hyödyntäneitä tietomurtoja suomalaisille sivustoille

[CERT-FI] Viime aikoina on useita suomalaisia Wordpress-alustalla toimiva www-sivustoja sotkettu SEA:n (Syrian Electronic Army) nimissä. Viestintäviraston tietojen mukaan nämä tietomurrot eivät liity poliisin tutkittavana olevaan laajaan tietomurtojen sarjaan.

Tässä artikkelissa valotetaan Wordpress-tietomurtojen tarkempia tekotapoja, sekä annetaan järjestelmien ylläpitäjille konkreettisia ohjeita omien Wordpress-ympäristöjensä suojaamiseksi vastaavilta murroilta.

Tietomurtojen toteutus:
Tietomurrot sivustoille on toteutettu todennäköisesti CVE-2013-4340 mukaista SQL-injektiohaavoittuvuutta hyödyntämällä. Tämän seurauksena hyökkääjä on päässyt kirjautumaan järjestelmään wp-admin-sivuston kautta ilman että hyökkääjän on tarvinnut tietää mitään olemassa olevaa käyttäjätunnusta.

Järjestelmään sisäänpääsyn jälkeen hyökkääjä on muuttanut Wordpress-teeman 404.php-tiedoston (wp-content/themes/XXXX/404.php) haitallista ohjelmakoodia sisältäväksi tiedostoksi Wordpress theme-editorilla. Tämän jälkeen palvelimen www-juureen ladattiin sotkettu index.html-tiedosto ja hallintatunnusten salasanat vaihdettiin. Hyökkääjä jätti sotketun index.html:n palvelimelle ja kirjautui ulos palvelimelta.

Haavoittuvan järjestelmän korjaaminen:
WordPress 3.6.1-päivitys korjaa kyseisissä tietomurroissa käytetyn haavoittuvuuden. Lisäksi WordPress alustoihin kannattaa tehdä seuraavat tietoturvaa parantavat korjaukset:

Poista kaikki paitsi käytössä olevat Wordpress-teemat järjestelmästä
Poista theme-editor käytöstä lisäämällä wp-config.php tiedostoon "define('DISALLOW_FILE_EDIT',true);"

Mikäli järjestelmään on päästy tunkeutumaan tai sitä on yritetty, kannattaa järjestelmien ylläpitäjien lisäksi suorittaa seuraavat toimenpiteet:

Vaihda SQL-tietokantakäyttäjät salasanoineen
Vaihda Wordpressin Secret Key -avaimet wp-config.php tiedostosta (https://api.wordpress.org/secret-key/1.1/salt/)
Vaihda Wordpress-käyttäjätunnukset ja niiden salasanat

Koska kyseinen haitallinen 404.php tiedosto antaa mahdollisuuden muuhunkin haitalliseen toimintaan, kannattaa Wordpress-ympäristöt tarkastaa myös hyökkääjän tekemien muiden muutosten varalta. Wordfence-lisäosan (http://wordpress.org/plugins/wordfence/) avulla voi paikallisia tiedostoja verrata Wordpressin repositoryssa oleviin tiedostoihin ja varmistua siitä, ettei niissä ole muutoksia.

(huom. Tämä on suora kopio CERT-FI:n tiedotteesta)

LÄHDE: Cert-FI / Tietoturva nyt!