BI.ZONE WAF защищает от новых уязвимостей в CMS WordPress

Недавно стало известно о трех уязвимостях в плагине Forminator для системы управления содержимым сайта WordPress. Специалисты BI.ZONE WAF и группа анализа защищенности BI.ZONE исследовали эти ошибки, после чего разработали правила, предотвращающие их эксплуатацию

27 апреля 2024 г.

Обнаруженные критические уязвимости позволяют злоумышленникам компрометировать конфиденциальные данные и вызывать сбои в работе веб‑сервисов. Команды анализа защищенности и BI.ZONE WAF оперативно исследовали ошибки и протестировали их эксплуатацию на демостенде. После этого были разработаны правила, которые позволяют предотвратить атаку с использованием найденных уязвимостей.

Первая из них, CVE‑2024‑28890, заключается в некорректной проверке расширений загружаемых файлов. Это позволяет злоумышленникам без ограничений выполнять загрузку веб‑шелла — программы для удаленного управления веб‑сервером — или вредоносного ПО.

Вторая уязвимость — CVE‑2024‑31077. Она основана на возможности исполнения произвольного SQL‑запроса, что порождает Union‑based‑инъекцию. Эта ошибка вызвана отсутствием алгоритмов санитизации данных при заполнении форм регистрации или аутентификации. В результате в руках злоумышленников могут оказаться конфиденциальные данные пользователей.

Третья уязвимость, CVE‑2024‑31857, позволяет злоумышленникам реализовать XSS‑атаку (reflected cross‑site‑scripting). Ее суть заключается в том, что атакующие передают вредоносный код через поля для ввода данных. Злоумышленники могут выполнить произвольный HTML‑ или JavaScript‑код в браузере жертвы, которая перешла по специально созданной ссылке на уязвимый ресурс.

Атаки через WordPress очень популярны. Из всех веб‑атак, которые мы отразили за последний месяц, 29% пытались проэксплуатировать уязвимости в компонентах этой CMS. Если у компании нет возможности обновить плагин Forminator до версии 1.29.3, защитить веб‑приложения от подобных атак можно с помощью BI.ZONE WAF.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

Защита приложений осуществляется посредством семантического поиска SQL-/JavaScript-/HTML-конструкций в различных HTTP‑заголовках в передаваемых пользователем полях, а также за счет проверки расширений загружаемых файлов, header‑байт‑кода файла и соответствия content‑type HTTP‑заголовка реальным загружаемым данным. Такой подход позволяет быстро и тщательно отфильтровать аномальные запросы и обеспечить надежную защиту веб‑приложения.

Помимо этого, разработанные командой BI.ZONE WAF правила и политики сканирования были успешно преобразованы и интегрированы в продукте BI.ZONE CPT (Continuous Penetration Testing). Благодаря новым правилам, BI.ZONE CPT позволяет выявлять посредством активного сканирования различные уязвимости, а также веб‑приложения, которые могут быть подвергнуты атакам с помощью CVE‑2024‑28890, CVE‑2024‑31077 и CVE‑2024‑31857.