WordPress-sisällönhallintajärjestelmän useista versioista on löytynyt kriittinen Cross Site Scripting (XSS) -haavoittuvuus suomalaisen tietoturvayhtiö Klikki Oy:n toimesta.

Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisia komentoja ylläpitäjän oikeuksin ja tätä kautta esimerkiksi vaihtaa ylläpitäjän salasanaa. Haavoittuvuuden hyväksikäyttö ei vaadi kirjautumista, ja sen mahdollistava kommentointiominaisuus on oletuksena käytössä WordPress-ohjelmiston perusasennuksessa.

Haavoittuvuus liittyy WordPress-asennuksen sivujen sekä viestien kommentointimahdollisuuteen ja sen toimintaperiaate on saman kaltainen kuin haavoittuvuustiedotteessa 126/2014 (Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä) kuvattu haavoittuvuus. Haavoittuvuuden hyväksikäyttö vaatii yli 64 kilotavun mittaisen JavaScript-ohjelmakoodin syöttämisen WordPress-asennuksen kommentointikenttään.

Mikäli WordPress-asennuksen ylläpitäjä tarkastelee hyökkääjän syöttämää kommenttia sivustolla, sen sisällä oleva ohjelmakoodi suoritetaan. Haitallisen ohjelmakoodin suorittaminen ylläpitäjän oikeuksilla voi johtaa järjestelmän halutuunottoon hyökkääjän toimesta.

Toisin kuin haavoittuvuustiedotteessa 126/2014 kuvatussa haavoittuvuudessa, nyt julkaistua haavoittuvuutta ei voi hyödyntää ylläpitäjän Dashboard-näkymässä. Tämän johdosta haavoittuvuuden hyväksikäyttö on vaikeampaa, ja hyökkääjän tulee onnistua ohittamaan ylläpitäjän suorittama viestien moderointi esimerkiksi julkaisemalla ensiksi harmiton kommentti jonka ylläpitäjä hyväksyy. WordPress-asennuksen oletusasetuksilla vain käyttäjän ensimmäinen kommentti annetaan ylläpitäjän tarkastettavaksi.

Ylläpitäjien tulee päivittää haavoittuvat WordPress-asennukset korjattuihin versioihin mahdollisimman pikaisesti. Mikäli vanhemmalle versiohaaralle ei ole päivitystä saatavilla, voi hyväksikäyttömahdollisuutta rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.

Haavoittuvuuden löysi suomalaisen tietoturvayhtiö Klikki Oy:n Jouko Pynnönen.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

Ainakin seuraavat versiot on todettu haavoittuvuksi käyttäen MySQL versiota 5.1.53 ja 5.5.41:

• WordPress 4.2
• WordPress 4.1.2
• WordPress 4.1.1
• WordPress 3.9.3

Ratkaisu- ja rajoitusmahdollisuudet:

Suositeltu ratkaisukeino on päivittää haavoittuva ohjelmisto valmistajan ohjeen mukaisesti versioon 4.2.1

Jos päivittäminen ei ole mahdollista, hyväksikäyttömahdollisuutta voi rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.

Lisätietoa:

•  
• https://wordpress.org/news/2015/04/wordpress-4-2-1/
•  
•  
• https://codex.wordpress.org/Version_4.2.1
•  
•  
• http://klikki.fi/adv/wordpress2.html
•  
•  
• http://arstechnica.com/security/2015/04/27/just-released-wordpress-0day-makes-it-easy-to-hijack-millions-of-websites/