Af Eskil Sørensen, 20/06/22
WordPress-websteder, der bruger Ninja Forms, er blevet tvangsopdateret massevis i denne uge. Det er sket for at adressere en kritisk sikkerhedssårbarhed, der sandsynligvis udnyttes 'in the wild'. Det skriver Bleeping Computer.
Sårbarheden er en ’code injection’-sårbarhed, der påvirker flere Ninja Forms-udgivelser, startende med version 3.0 og nyere. Code injection bruges af en angriber til at introducere (eller injicere) kode i et sårbart computerprogram og ændre eksekveringsforløbet. Med code injection kan en angriber lykkedes med at installere computervirus eller at få orme til sprede sig.
Udnyttelse af sårbarheden i Ninja Forms kan således gør det muligt for en angriber fuldstændigt at overtage upatchede WordPress-websteder via flere udnyttelseskæder, hvoraf en af dem tillader fjernudførelse af kode via deserialisering.
De fleste sårbare websteder ser ifølge Bleeping Computer ud til allerede at være blevet tvunget opdateret baseret på antallet af downloads, siden fejlen blev rettet i midten af juni. Ifølge Ninja Forms' downloadstatistik er sikkerhedsopdateringen blevet rullet ud over 730.000 gange, siden patchen blev frigivet.
Hvis pluginnet endnu ikke er blevet opdateret automatisk til den patchede version, kan man selv også selv bruge sikkerhedsopdateringen fra dashboardet til den seneste version, der er 3.6.11.
Tvungne opdateringer bruges i sjældne tilfælde. Når det sker, er det for hurtigt at rette kritiske sikkerhedsfejl, der bruges hundredtusind eller millioner websteder.
Links:
https://www.wordfence.com/blog/2022/06/psa-critical-vulnerability-patched-in-ninja-forms-wordpress-plugin/
https://www.bleepingcomputer.com/news/security/730k-wordpress-sites-force-updated-to-patch-critical-plugin-bug/