BI.Zone WAF защищает от новых уязвимостей в CMS WordPress
Специалисты BI.Zone WAF и группа анализа защищенности BI.Zone исследовали недавно выявленные уязвимости в плагине Forminator для системы управления содержимым сайта WordPress, после чего разработали правила, предотвращающие их эксплуатацию.
Обнаруженные критические уязвимости позволяют злоумышленникам компрометировать конфиденциальные данные и вызывать сбои в работе веб-сервисов. Команды анализа защищенности и BI.Zone WAF оперативно исследовали ошибки и протестировали их эксплуатацию на демостенде. После этого были разработаны правила, которые позволяют предотвратить атаку с использованием найденных уязвимостей.
Первая уязвимость, CVE-2024-28890, заключается в некорректной проверке расширений загружаемых файлов. Это позволяет злоумышленникам без ограничений выполнять загрузку веб-шелла — программы для удаленного управления веб-сервером — или вредоносного ПО.
Вторая — CVE-2024-31077. Она основана на возможности исполнения произвольного SQL-запроса, что порождает Union-based-инъекцию. Эта ошибка вызвана отсутствием алгоритмов санитизации данных при заполнении форм регистрации или аутентификации. В результате в руках злоумышленников могут оказаться конфиденциальные данные пользователей.
Третья, CVE-2024-31857, позволяет злоумышленникам реализовывать XSS-атаку (reflected cross-site-scripting). Ее суть заключается в том, что атакующие передают вредоносный код через поля для ввода данных. Злоумышленники могут выполнить произвольный HTML- или JavaScript-код в браузере жертвы, которая перешла по специально созданной ссылке на уязвимый ресурс.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.Zone, сказал: «Атаки через WordPress очень популярны. Из всех веб-атак, которые мы отразили за последний месяц, 29% пытались проэксплуатировать уязвимости в компонентах этой CMS. Если у компании нет возможности обновить плагин Forminator до версии 1.29.3, защитить веб-приложения от подобных атак можно с помощью BI.Zone WAF».
Защита приложений осуществляется посредством семантического поиска SQL-/JavaScript-/HTML-конструкций в различных HTTP-заголовках в передаваемых пользователем полях, а также за счет проверки расширений загружаемых файлов, header-байт-кода файла и соответствия content-type HTTP-заголовка реальным загружаемым данным. Такой подход позволяет быстро и тщательно отфильтровать аномальные запросы и обеспечить надежную защиту веб-приложения.
Помимо этого, разработанные командой BI.Zone WAF правила и политики сканирования были успешно преобразованы и интегрированы в продукте BI.Zone CPT (Continuous Penetration Testing). Благодаря новым правилам BI.Zone CPT позволяет выявлять посредством активного сканирования различные уязвимости, а также веб-приложения, которые могут быть подвергнуты атакам с помощью CVE-2024-28890, CVE-2024-31077 и CVE-2024-31857.