Одна уязвимость – на четверть всех сайтов глобальной сети

Компания Automattic, владелец платформы WordPress, ликвидировала уязвимость, потенциально позволявшую киберпреступникам атаковать огромное множество вебсайтов. Проблема была обнаружена исследователем Мэттом Бэрри на сервере обновлений WordPress – api.wordpress.org. Бэрри установил, что разработчики обновлений для подтверждения их легитимности могли использовать любой алгоритм хеширования по своему усмотрению. Соответственно, злоумышленники имели возможность с помощью brute-force атаки взломать самые слабые из алгоритмов и под видом обновлений загрузить на сервер любое вредоносное ПО.

Ситуация усугублялась тем, что архитектура WordPress подразумевает загрузку обновлений для всех без исключения сайтов на этой платформе с единой системы серверов. Таким образом, киберпреступники могли загрузкой одного-единственного вредоносного обновления нанести удар по миллионам вебсайтов. Согласно статистике, порядка 27,1 процентов всех сайтов глобальной сети работают сегодня именно на платформе WordPress.

Уязвимость была обнаружена Мэттом Бэрри еще в начале сентября, однако компания Automattic ликвидировала ее лишь несколько дней назад. При этом сам Бэрри считает, что опасность в полной мере не устранена: архитектура, подразумевающая загрузку обновлений для всех сайтов с единого сервера, не исключает повторного возникновения возможности одновременной атаки на миллионы сайтов в будущем.