Photo of a Jewel bug

Tiedote: Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden

Kirjoitettu: 2.9.2020 Päivitetty: 22.9.2020

WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta on löytynyt vakava nollapäivähaavoittuvuus. Haavoittuvuuden paikkaava päivitys on havainnon jälkeen jo julkaistu. Se on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.

WP File Manager

Tietoturva-aukon löysi Suomen johtava WordPress-ylläpitäjä Seravo. Sen ylläpitämissä palveluissa lisäosaan kohdistuvat hyökkäykset estettiin jo ennen virallisen lisäosan julkaisua. WordPress on maailman yleisin verkkosivustojen julkaisujärjestelmä, ja sitä käyttää Suomessa yli 30 prosenttia sivustoista.

”Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna”, Seravon toimitusjohtaja Otto Kekäläinen kertoo.

”Rikolliset yrittävät hyödyntää haavoittuvuutta aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua tätä aukkoa hyödyntämällä yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon”, hän sanoo.

WP FIle Manager -lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmassa ja yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.

”Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. WordPressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia”, Kekäläinen kertoo.

Löytynyt nollapäivähaavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Verkkohyökkäys pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.

”Haluamme muistuttaa, että kaikkien yritysverkkosivustojen tulisi olla aktiivisesti ylläpidettyjä ja valvottuja. Vaikka sivusto ei tunnu tärkeältä, sen kautta voidaan hyökätä edelleen muille sivustoille, jolloin tietoturvan laiminlyönyt sivuston omistaja voi olla osavastuussa”, toimitusjohtaja Kekäläinen sanoo.

Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon. Teknisempiä tietoja tietoturva-aukosta löytyy Seravon englanninkielisestä blogiartikkelista.

Täydennys 3.9.2020

Tiedotimme asiasta nopeasti ja lyhyesti Twitterissa jo maanantaina, mutta selvennettäköön vielä, että Seravo on tietoturvalupaustensa mukaisesti hoitanut tämänkin asian asiakkaidemme puolesta. Haittaliikenne WP File Manager -lisäosaan estettiin heti kun se havaittiin maanantaina aamulla, ja tietoturvatutkimusten jälkeen kaikki WP File Manager -lisäosat ensin päivitettiin, ja nyt päädyimme kokonaan poistamaan ne. Kyseinen lisäosa on ollut pitkään Seravon mustalla listalla emmekä suosittele sen käyttöä lainkaan.

Täydennys 22.9.2020

Proof-of-concept -koodi ja tarkennettu kuvaus tietoturva-aukosta on nyt julkaistu Seravon englanninkielisessä blogiartikkelissa.

Suosittelemme seuraamaan Twitterissä tiliämme SeravoFi nopeiden pikauutisten näkemiseksi.

Lisätietoja

Lue lisää aiheesta:

3 kommenttia kirjoituksessa “Tiedote: Seravo löysi WP File Manager -lisäosasta vakavan nollapäivähaavoittuvuuden”

  • JR sanoo:

    Jännä että Ylen kirjoittamassa artikkelissa tästä haavoittuvuudesta syytetään koko WordPress alustaa, eikä edes mainita että kyseessa on vain yksi lisäosa. Eivät edes kehdanneet linkata lähteeseen, jonka mainitsevat olevan Seravo.

    • Nuutti Toivola sanoo:

      Hei!
      Ylen artikkelissa oli tosiaan oikaistu jättämällä oleellinen ”lisäosa” sana mainitsematta. Seravolta on lähetetty oikaisupyyntö asiasta myös Ylelle. Toivottavasti uutinen päivittyy pian!

      Sitä ennen kannattaa jättää myös oma palautteensa asiasta Ylen artikkelin alapuolelta löytyvän ”Ota yhteyttä” painikkeen kautta.

Vastaa käyttäjälle Nuutti Toivola Peruuta vastaus

seravo

Hae WP-palvelu.fi:stä

Kategoriat

Lue myös

WooCommerce 4.6 on julkaistu

19.10.2020

Lokakuun 13. päivä julkaistiin WooCommercen versio 4.6. Kyseessä on minor-versio joka on täysin yhteensopiva aiemman 4.5 version kanssa. Vaadittu WordPress-versio […]

Seravon lisäosa entistäkin hyödyllisempi

9.10.2020

Seravon asiakkaille uusia ominaisuuksia WordPressin hallintapaneeliin

Työntekijöille ilmaiset kasvomaskit ja käsineet

11.9.2020

Seravo jakaa ilmaiseksi henkilökunnalleen kahta asiaa tartuntariskin vähentämiseksi. Tiedätkö mistä muusta on hyötyä kasvomaskin lisäksi?