Jedna historka uživatele WordPress

Tohle se mi stalo minulou neděli. Procházím si komentáře k poslednímu přehledu prodaných .cz domén a průběžně koukám, kdo co nabídl v rámci akce vaše .cz domény na prodej. Když tu znenadání na mě vyskočila podivná věc v administraci.

chyba-v-slimstat

Říkám si WTF? Co se mi to zobrazuje za šílenost. Nejdřív to odkliknu. V něčem pokračuji. Pak si dám jednu výchovnou a okamžitě se vracím zpět na nástěnku. Jako tohle není sranda jako snaha Microsoft vnutit mi Windows 10, kterou bezmyšlenkovitě odklikávám. Tohle je bezpečnostní průšvih!

Okamžitě začnu prolézat zdrojové kódy a připravuji nahodit na celou doménu zákaz přístupu všech IP adres mimo té mojí. Naštěstí brzo zjišťují, že se jednalo jen o otestování bezpečnosti. Sbírám zdrojový kód a data z databáze. Deaktivuji plugin, kouknu jestli nepřibyl v administraci nový admin a odhlašuji se.

Kouknu na wordpress.org jestli k pluginu nevyšla nová aktualizace. Hmm nikde nic ani na diskuzi. 100K aktivních instalací, to už určitě někdo nahlásí a chci to pustit z hlavy. Dám si druhou výchovnou a rychle se proberu. Znám hrozbu, vím přesně o co se jedná a jediná, stačí to jen poslat vývojáři.

Ok zajdu na stránku vývojáře (plugin má i placené rozšíření). Koukám po nějakém emailu. Po pár minutách nic. Jen ticket systém. Ach jo přece se s tím nebudu trápit. Třetí výchovná. Ok ok napíšu jim ticket na zákaznickou podporu. Nechci se moc rozepisovat. Prostě napíšu že jsem našel bezpečnostní díru, přiložím výše uvedený screenshot a ať mi pošlou email, kam to poslat. No uvidíme.

Hned po odeslání dorazí potvrzení ticketu na email. Hmm už je večer neděle, zítra tu nebudu, tak jim to komplet pošlu na ten email s ID ticketu. Vložím kus problémového zdrojového kódu a dva řádky z databáze, kam se podařilo útočníkovi vložit javascript. S tímto si poradí.

Za pár desítek minut se mi někdo ozve a chce po mě verze WP a pluginu. Odesílám. Ok to bude snad vše. Za necelou hodinu mi dojde informace, že nález je pozitivní a svolávají vývojáře s prosbou ať zachovám diskrétnost. Nahodím pozitivní úšklebek. Hmm dobře já!

Za půl hodiny přijde další info, že ještě dnes v noci vyjde patch. Jé moje první odhalená vulnerabilita ve WordPress :)

Druhý den mě potěšil nejen update ale i menší poděkování :)

mnou-nahlasena-zranitelnost-opravena

Share Button
(0)(0)

Jak bude reklama vypadat?
-
Kup si reklamu navždy pod tímto článkem jen za 100 Kč
Zobrazit formulář pro nákup

Další články k tématu

9 komentářů

  1. Petr Malec napsal:

    Dobrá práce Drago :)

    (2)
  2. rocket napsal:

    Hmm pěkné :-) Udělal jsi dobře:)

    Admine, nešlo by něco udělat s tím načítáním - připojováním webu k s-adexpert.cz?? Sem tam se tu otočím a rád počtu co je nového, ale tohle mě tu rozčiluje. Samozřejmně můžu v prohlížeči pokaždé kliknout na křížek u adresního řádku - přerušit načítání stránky - tím se přeruší připojování k adexpert a poté se načte - zobrazí celý obsah webu. Kdykoliv sem zajdu, pouze se načte ten hlavní uvodní článek, a to je doba, než se načte zbytek, Opravdu to je otravné :) Nějaká optimalizace? Nechci tu rozebírat, že když sem nakouknu přes noťase, pc, nebo tablet android, vždy to je stejný opruz.. V současné dobe neznám žádný jiný web, který by se takto choval :-( Vím, na mě nesejde, ale odrazuje mě to sem chodit.

    Děkuji :)

    (1)
  3. Nina napsal:

    Celkom nepríjemné ked sa takéto niečo nebezpečné môže dostať do wp ale zase páči sa mi ta obrovská wp komunita vývojarov a použivateľov, ktorá zvyšuje pravdepodobnosť že sa niečo také môže stať a pkene Drago, ktovie kedy by si to niekto všimol a nahlásil, keby nebolo teba možno že ani vôbec by si to nikto nevšimol.

    (1)
  4. Petr napsal:

    Drago zajímavé, jak všichni chválí tebe, ale nikdo nepochválí toho, kdo se ti do pluginu dostal :).
    Bez něj by si o problému nevěděl a nemohl ho nahlásit.
    Jak jsi sám psal, šlo jen o testování bezpečnosti, tak že někdo chtěl na chybu ukázat ;) . Mohl na tvém webu udělat větší neplechu.

    (1)
    • admin napsal:

      Souhlasím. Z toho co jsem vysledovat šel zřejmě po jiné už existující/patchnuté díře a shodou okolností to zabralo na plugin který používám. Jinak propašovat javascript přes hlavičku prohlížeče byl super nápad.

      (0)
      • Petr napsal:

        Po díře v jiném pluginu?
        Stejně by to stále byla jen demonstrace na chybu, aby byla opravena a nezneužil ji někdo jiný, kdo by měl velice špatné úmysly.

        (0)
        • admin napsal:

          Zřejmě nešlo o demonstaci ale zjištění jestli tam děravý plugin je (přišlo to ze 3 IP adres, celkem přes 30 pokusů). Dělají to roboti ve velkém každý den. Pokud by to fungovalo, předá to dál řídícímu C&C serveru a při nejbližší příležitosti dojde k zneužití.

          (1)
  5. Brano napsal:

    Veľmi sa mi páči sa mi číslo 2969 príspevkú a 23 260 komentáru. Rešpekt.

    (0)