Недавно стало известно о трех уязвимостях в плагине Forminator для системы управления содержимым сайта WordPress. Специалисты BI.ZONE WAF и группа анализа защищенности BI.ZONE исследовали эти ошибки, после чего разработали правила, предотвращающие их эксплуатацию.
Обнаруженные критические уязвимости позволяют злоумышленникам компрометировать конфиденциальные данные и вызывать сбои в работе веб-сервисов. Команды анализа защищенности и BI.ZONE WAF оперативно исследовали ошибки и протестировали их эксплуатацию на демостенде. После этого были разработаны правила, которые позволяют предотвратить атаку с использованием найденных уязвимостей.
Первая уязвимость, CVE-2024-28890, заключается в некорректной проверке расширений загружаемых файлов. Это позволяет злоумышленникам без ограничений выполнять загрузку веб-шелла — программы для удаленного управления веб-сервером — или вредоносного ПО.
Вторая — CVE-2024-31077. Она основана на возможности исполнения произвольного SQL-запроса, что порождает Union-based-инъекцию. Эта ошибка вызвана отсутствием алгоритмов санитизации данных при заполнении форм регистрации или аутентификации. В результате в руках злоумышленников могут оказаться конфиденциальные данные пользователей.
Третья, CVE-2024-31857, позволяет злоумышленникам реализовывать XSS-атаку (reflected cross-site-scripting). Ее суть заключается в том, что атакующие передают вредоносный код через поля для ввода данных. Злоумышленники могут выполнить произвольный HTML- или JavaScript-код в браузере жертвы, которая перешла по специально созданной ссылке на уязвимый ресурс.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE, отметил: «Атаки через WordPress очень популярны. Из всех веб-атак, которые мы отразили за последний месяц, 29% пытались проэксплуатировать уязвимости в компонентах этой CMS. Если у компании нет возможности обновить плагин Forminator до версии 1.29.3, защитить веб-приложения от подобных атак можно с помощью BI.ZONE WAF».
Защита приложений осуществляется посредством семантического поиска SQL-/JavaScript-/HTML-конструкций в различных HTTP-заголовках в передаваемых пользователем полях, а также за счет проверки расширений загружаемых файлов, header-байт-кода файла и соответствия content-type HTTP-заголовка реальным загружаемым данным. Такой подход позволяет быстро и тщательно отфильтровать аномальные запросы и обеспечить надежную защиту веб-приложения.
Помимо этого, разработанные командой BI.ZONE WAF правила и политики сканирования были успешно преобразованы и интегрированы в продукте BI.ZONE CPT (Continuous Penetration Testing). Благодаря новым правилам BI.ZONE CPT позволяет выявлять посредством активного сканирования различные уязвимости, а также веб-приложения, которые могут быть подвергнуты атакам с помощью CVE-2024-28890, CVE-2024-31077 и CVE-2024-31857.