Веб-сайт Bleeping Computer сообщил, что подключаемый модуль безопасности WordPress All-In-One Security (AIOS), используемый более чем одним миллионом веб-сайтов WordPress, был подвержен записи незашифрованных паролей, которые пользователи пытаются войти в базу данных веб-сайта, что может поставить под угрозу безопасность учетной записи. .
AIOS — это комплексное решение, разработанное Updraft, которое предоставляет брандмауэр веб-приложений, средства защиты контента и безопасности входа в систему для сайтов WordPress, чтобы блокировать ботов и предотвращать атаки грубой силы.
Около трех недель назад пользователь сообщил, что подключаемый модуль AIOS версии 5.1.9 не только регистрирует попытки входа пользователя в систему в таблице базы данных aiowps_audit_log, которая отслеживает вход, выход из системы и неудачные попытки входа, но также записывает введенные пароли. Пользователь обеспокоен тем, что это нарушает несколько стандартов соответствия безопасности, включая NIST 800-63 3, ISO 27000 и GDPR.
Первоначальный отчет об уязвимости (wordpress.org)
Получив отзыв, Updraft ответил, что проблема была «известной ошибкой», и дал расплывчатое обещание, что она будет исправлена в следующей версии. Осознав серьезность проблемы, сотрудники службы поддержки Updraft две недели назад предоставили заинтересованным пользователям следующую разрабатываемую версию, но пользователи, которые пытались установить разрабатываемую версию, по-прежнему указывали, что журнал паролей не был удален.
Сейчас выпущено исправление
11 июля поставщик AIOS выпустил версию 5.2.0, которая включает исправление, предотвращающее сохранение незашифрованных паролей и удаляющее старые записи. Поставщик AIOS повторил в своем объявлении, что выпуск AIOS 5.2.0 исправляет ошибку в версии 5.1.9, из-за которой пароли пользователей добавлялись в базу данных WordPress в виде открытого текста.
Это создает некоторые проблемы с безопасностью, когда «злонамеренные» веб-мастера пытаются использовать эти пароли в других службах, где пользователи могут использовать те же пароли. Кроме того, если данные для входа незащищенного лица не защищены двухфакторной аутентификацией на этих платформах, «злонамеренные» администраторы могут легко завладеть учетной записью пользователя.
В дополнение к угрозам безопасности, создаваемым «злонамеренными» администраторами, сайты, использующие AIOS, также подвержены риску хакеров, которые, получив доступ к базе данных сайта, могут утечь пароли пользователей в открытом виде.
На момент публикации статьи статистика WordPress.org показывает, что около четверти пользователей AIOS обновились до версии 5.2.0, поэтому, по оценкам, более 750 000 веб-сайтов все еще уязвимы.
К еще большему сожалению, WordPress всегда был целью кибератак, некоторые веб-сайты, использующие AIOS, могли быть скомпрометированы, плюс проблема безопасности циркулирует в сети более трех недель, а Updraft не предупреждал пользователей о риске увеличения воздействия, поэтому могут иметь место некоторые инциденты с угрозами безопасности.
Наконец, веб-сайты, использующие AIOS, должны как можно скорее обновиться до последней версии и потребовать от пользователей сбросить свои пароли.