Seravo löysi WordPressistä vakavan nollapäivähaavoittuvuuden – aukko koskettaa yli 700 000 verkkosivua, paljon hyökkäyksiä havaittu
Julkaistu
Päivitetty

WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta on löytynyt vakava nollapäivähaavoittuvuus. Haavoittuvuuden paikkaava päivitys on havainnon jälkeen jo julkaistu. Se on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.

WP File Manager

Tietoturva-aukon löysi Suomen johtava WordPress-ylläpitäjä Seravo. Sen ylläpitämissä palveluissa lisäosaan kohdistuvat hyökkäykset estettiin jo ennen virallisen lisäosan julkaisua. WordPress on maailman yleisin verkkosivustojen julkaisujärjestelmä, ja sitä käyttää Suomessa yli 30 prosenttia sivustoista.

”Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna”, Seravon toimitusjohtaja Otto Kekäläinen kertoo.

”Rikolliset yrittävät hyödyntää haavoittuvuutta aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua tätä aukkoa hyödyntämällä yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon”, hän sanoo.

WP FIle Manager -lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmassa ja yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.

”Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. WordPressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia”, Kekäläinen kertoo.

Löytynyt nollapäivähaavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Verkkohyökkäys pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.

”Haluamme muistuttaa, että kaikkien yritysverkkosivustojen tulisi olla aktiivisesti ylläpidettyjä ja valvottuja. Vaikka sivusto ei tunnu tärkeältä, sen kautta voidaan hyökätä edelleen muille sivustoille, jolloin tietoturvan laiminlyönyt sivuston omistaja voi olla osavastuussa”, toimitusjohtaja Kekäläinen sanoo.

Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon. Teknisempiä tietoja tietoturva-aukosta löytyy Seravon englanninkielisestä blogiartikkelista.

Täydennys 3.9.2020

Tiedotimme asiasta nopeasti ja lyhyesti Twitterissa jo maanantaina, mutta selvennettäköön vielä, että Seravo on tietoturvalupaustensa mukaisesti hoitanut tämänkin asian asiakkaidemme puolesta. Haittaliikenne WP File Manager -lisäosaan estettiin heti kun se havaittiin maanantaina aamulla, ja tietoturvatutkimusten jälkeen kaikki WP File Manager -lisäosat ensin päivitettiin, ja nyt päädyimme kokonaan poistamaan ne. Kyseinen lisäosa on ollut pitkään Seravon mustalla listalla emmekä suosittele sen käyttöä lainkaan.

Täydennys 22.9.2020

Proof-of-concept -koodi ja tarkennettu kuvaus tietoturva-aukosta on nyt julkaistu Seravon englanninkielisessä blogiartikkelissa.

Suosittelemme seuraamaan Twitterissä tiliämme SeravoFi nopeiden pikauutisten näkemiseksi.

Lisätietoja

Lue lisää aiheesta:

Kommentit (3)

  • JR sanoo:

    Jännä että Ylen kirjoittamassa artikkelissa tästä haavoittuvuudesta syytetään koko WordPress alustaa, eikä edes mainita että kyseessa on vain yksi lisäosa. Eivät edes kehdanneet linkata lähteeseen, jonka mainitsevat olevan Seravo.

    • Nuutti Toivola sanoo:

      Hei!
      Ylen artikkelissa oli tosiaan oikaistu jättämällä oleellinen ”lisäosa” sana mainitsematta. Seravolta on lähetetty oikaisupyyntö asiasta myös Ylelle. Toivottavasti uutinen päivittyy pian!

      Sitä ennen kannattaa jättää myös oma palautteensa asiasta Ylen artikkelin alapuolelta löytyvän ”Ota yhteyttä” painikkeen kautta.

Kommentoi

Lue lisää

Kategoriassa: Tietoturva

WordPress-tietokannan suojaukset Seravolla

Viime viikkoina tietoturva on ollut otsikoissa Suomessa. Lue Seravon blogista miten kaikkea Seravo tekee tietokannan suojaamiseksi WordPress-sivustoillamme.

9.11.2020

Tiedote: Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden

Seravo löysi WordPressistä vakavan nollapäivähaavoittuvuuden – aukko koskettaa yli 700 000 verkkosivua, paljon hyökkäyksiä havaittu

2.9.2020

Paranna tietoturvaasi kaksivaiheisella tunnistautumisella

Tässä artikkelissa esittelen TOTP-sovelluksen käyttöä kaksivaiheiseen tunnistautumiseen ja miksi TOTP on monia muita vaihtoehtoja parempi menetelmä.

14.5.2020

Salasanahygienia on puoli tietoturvaa

Huolehdimme Seravolla paitsi WordPress-sivustojen toimivuudesta ja suorituskyvystä, myös niiden tietoturvasta. WP-palvelussa ylläpidossa olevalle sivustolle tehdään toistuvasti automaattisia tarkistuksia haittakoodin varalta, […]

7.5.2020

TLS 1.1 ja 1.0 historiaan maaliskuussa

Seravon WP-palvelussa on vuoden 2020 alusta ollut ensisijaisena HTTPS-liikenteen salausprotokollana käytössä TLS 1.3, jonka lisäksi käytössä on TLS 1.2. Sen […]

10.3.2020

Nopeuta WordPressiä kevätsiivouksella

Ajan myötä jopa huolellisesti ylläpidetyille WordPress-sivustoille tapaa kertyä ylimääräistä roskaa: ylimääräisiä tiedostoja, käytöstä poistettuja lisäosia, tarpeetonta tietokantasisältöä ja vanhoja lokitiedostoja. […]

21.2.2020