Luka w UpdraftPlus: WP Backup & Wtyczka migracyjna wpływa na ponad 3 miliony witryn WordPress, umożliwiając nieuwierzytelnionym atakującym wykonywanie poleceń jako administratorzy. Ta luka umożliwia atakującym przesyłanie i aktywowanie złośliwych wtyczek, co może prowadzić do potencjalnego zdalnego wykonania kodu.
Kopia zapasowa UpdraftPlus & Wtyczka migracyjna jest szeroko stosowana do tworzenia kopii zapasowych i migracji witryn WordPress. Obecnie jest zainstalowany na ponad 3 milionach stron internetowych. Luka nie wymaga od osoby atakującej logowania się ani posiadania konta WordPress, aby ją wykorzystać. Jednak tylko witryny z aktywnym kluczem Migrator lub kluczem UpdraftCentral są uznawane za podatne na ataki.
Exploit, który znajduje się w funkcji UpdraftPlus_Remote_Communications_V2::wp_loaded, dotyczy wszystkich wersji, aż do 1.26.4 włącznie. Luka ta jest klasyfikowana jako luka polegająca na obejściu uwierzytelniania, umożliwiająca nieuwierzytelnionym atakującym obejście weryfikacji tożsamości wtyczki i uzyskanie dostępu na poziomie administratora.
Według firmy zajmującej się bezpieczeństwem Wordfence szczegóły wskazują, że przyczyną tej wady była niewystarczająca weryfikacja formatów wiadomości komunikacji zdalnej. Ta awaria umożliwia atakującym sfałszowanie dowolnych poleceń RPC, które wtyczka wykonałaby jako uzasadnione instrukcje administratora.
Sytuacja ilustruje krytyczną wadę kodowania — kontrole uwierzytelniania, które mają weryfikować autentyczność poleceń, można ominąć, skutecznie pozostawiając tylne drzwi otwarte na nieautoryzowane działania. Zaatakowany system może umożliwić atakującym zainstalowanie wtyczek typu backdoor, które mogą ułatwić kradzież danych, dodanie złośliwego oprogramowania lub całkowitą kontrolę nad witryną.
Firma Wordfence zgłosiła znaczące ryzyko i odnotowała, że w ciągu jednego dnia zablokowała 8172 próby wykorzystania tej luki. Liczba ta podkreśla aktywne próby wykorzystania luki przez hakerów, choć nie potwierdza udanych kompromisów.
UpdraftPlus wydało łatkę dla wszystkich użytkowników, których to dotyczy, w celu zabezpieczenia ich instalacji. Użytkownicy proszeni są o natychmiastową aktualizację do wersji 1.26.5 w celu ograniczenia tej luki.
