BI.ZONE WAF – защита от уязвимостей в WordPress
Компания BI.ZONE сообщила, что специалисты BI.ZONE WAF и группа анализа защищенности BI.ZONE исследовали недавно найденные уязвимости в плагине Forminator для системы управления содержимым сайта WordPress и разработали правила, предотвращающие их эксплуатацию. Три критические уязвимости позволяют злоумышленникам компрометировать конфиденциальные данные и вызывать сбои в работе веб-сервисов.
Первая уязвимость, CVE-2024-28890, заключается в некорректной проверке расширений загружаемых файлов. Это позволяет злоумышленникам без ограничений выполнять загрузку веб-шелла – программы для удаленного управления веб-сервером – или вредоносного ПО.
Вторая уязвимость, CVE-2024-31077, основана на возможности исполнения произвольного SQL-запроса, что порождает Union-based-инъекцию. Эта ошибка вызвана отсутствием алгоритмов санитизации данных при заполнении форм регистрации или аутентификации. В результате в руках злоумышленников могут оказаться конфиденциальные данные пользователей.
Наконец, уязвимость CVE-2024-31857 позволяет реализовать XSS-атаку (reflected cross-site-scripting). Ее суть заключается в том, что атакующие передают вредоносный код через поля для ввода данных. Злоумышленники могут выполнить произвольный HTML- или JavaScript-код в браузере жертвы, которая перешла по специально созданной ссылке на уязвимый ресурс.
Команды анализа защищенности и BI.ZONE WAF, исследовав ошибки, протестировали их эксплуатацию на демостенде. После этого были разработаны правила, которые позволяют предотвратить атаку с использованием найденных уязвимостей.
Как отмечают в BI.ZONE, атаки через WordPress очень популярны: из всех веб-атак, которые в компании отразили за последний месяц, 29% пытались проэксплуатировать уязвимости в компонентах этой CMS.
Защита приложений реализована посредством семантического поиска SQL-/JavaScript-/HTML-конструкций в различных HTTP-заголовках в передаваемых пользователем полях, а также за счет проверки расширений загружаемых файлов, header-байт-кода файла и соответствия content-type HTTP-заголовка реальным загружаемым данным. Такой подход позволяет быстро отфильтровать аномальные запросы и обеспечить защиту веб-приложения.
Разработанные командой BI.ZONE WAF правила и политики сканирования были успешно преобразованы и интегрированы в продукт BI.ZONE CPT (Continuous Penetration Testing). Благодаря новым правилам BI.ZONE CPT позволяет выявлять посредством активного сканирования различные уязвимости, а также веб-приложения, которые могут быть подвергнуты атакам с помощью CVE-2024-28890, CVE-2024-31077 и CVE-2024-31857.