Sigurnosna obavijest za Burst Statistics
Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše
web-mjesto, čini se, koristi ranjivu verziju Burst Statisticsa (WordPress dodatka
burst-statistics, dodatka za analitiku prilagođenog privatnosti). Ova stranica objašnjava
zašto je to važno i kako to popraviti.
Ova se obavijest odnosi na CVE-2026-8181, kritičnu, aktivno iskorištavanu ranjivost (CVSS 9.8) koja napadaču omogućuje da preuzme vaše web-mjesto kao administrator bez prijave. Zahvaća uzak raspon izdanja, verzije 3.4.0, 3.4.1 i 3.4.1.1, a ispravljena je u verziji 3.4.2. Verzije prije 3.4.0 nikada nisu bile zahvaćene. Ako koristite zahvaćenu verziju, ažurirajte Burst Statistics na 3.4.2 ili noviji što je prije moguće. Budući da ova ranjivost napadaču predaje potpunu kontrolu nad web-mjestom i iskorištava se u velikom opsegu, trebali biste također provjeriti ima li znakova neovlaštenog pristupa (vidi Ako ste koristili zahvaćenu verziju u nastavku).
Ovo je ranjivost dodatka, a ne jezgre WordPressa. Potpuno ažuran WordPress vas ne štiti ako je sam dodatak Burst Statistics na zahvaćenoj verziji.
Je li ova poruka vjerodostojna?
Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega, bilo što učitati niti bilo što iskoristiti.
Sve što sam učinio jest da sam pogledao javno vidljive datoteke koje vaše web-mjesto
poslužuje svakom posjetitelju (na isti način na koji je vaša naslovnica javna) i zabilježio
broj verzije koji dodatak Burst Statistics objavljuje u svojoj javnoj datoteci readme.txt.
Ranjivu značajku izričito se nisam dotaknuo, a ništa u ovoj provjeri ne dira vaše podatke,
vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta.
Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.
Zašto je ovo važno
Burst Statistics vrlo je raširen dodatak za analitiku prilagođen privatnosti (oko 200.000 aktivnih instalacija). U verziji 3.4.0 dodao je integraciju s nadzornom pločom za daljinsko upravljanje MainWP, a kod koji autentificira te zahtjeve sadrži pogrešku: neispravno provjerava rezultat aplikacijske lozinke dolaznog zahtjeva, pa zahtjev koji ne nosi nijednu valjanu lozinku i dalje može biti prihvaćen.
Praktični je učinak taj da udaljeni napadač koji jednostavno zna korisničko ime bilo kojeg administratora na vašem web-mjestu može poslati jedan običan web-zahtjev koji dodatak prihvaća kao tog administratora, bez lozinke i bez prijave. To napadaču daje punu moć administratorskog računa: može stvarati nove administratorske korisnike, instalirati dodatak ili temu (uobičajen način postavljanja stražnjih vrata), mijenjati sadržaj ili čitati podatke.
Ranjivost je ocijenjena s 9,8 od 10 (kritična ozbiljnost). Otkrio ju je istraživački tim Wordfence, a Wordfence izvještava da se aktivno iskorištava u stvarnim uvjetima u velikom opsegu, reda veličine tisuća pokušaja napada dnevno, uz javno dostupan dokazni kod (proof-of-concept). Ako je moja e-pošta navela ovaj problem, to znači da verzija koju vaše web-mjesto prijavljuje spada u zahvaćeni raspon. Nisam testirao je li vaše konkretno web-mjesto iskoristivo ili već kompromitirano, samo da prijavljuje zahvaćenu verziju.
Dobra vijest: ažuriranje na ispravljenu verziju zatvara rupu, a ažuriranje je jednostavno.
Kako provjeriti svoju verziju
Ne morate mi vjerovati na riječ o tome koju verziju koristite.
Iz javnog manifesta (prijava nije potrebna): otvorite u pregledniku
yourdomain.com/wp-content/plugins/burst-statistics/readme.txt. Redak Stable tag: blizu
vrha verzija je koju vaša instalacija Burst Statisticsa prijavljuje, a to je ista javna
datoteka koju sam ja pročitao.
Iz administratorske zone WordPressa (ako imate pristup):
- Prijavite se na svoju WordPress nadzornu ploču (obično na
yourdomain.com/wp-admin). - Idite na Plugins pa Installed Plugins.
- Pronađite Burst Statistics i zabilježite verziju navedenu ispod njegova naziva.
Ako je verzija 3.4.0, 3.4.1 ili 3.4.1.1, koristite zahvaćenu verziju i trebali biste se ažurirati. 3.4.2 i novije su ispravljene, a verzije prije 3.4.0 nikada nisu bile zahvaćene.
Kako se nadograditi
Najsigurniji put jest ažuriranje kroz sam WordPress, uz prethodno stvaranje sigurnosne kopije:
- Napravite sigurnosnu kopiju svog web-mjesta (datoteke i baza podataka) prije unošenja izmjena. Većina pružatelja usluga hostinga nudi sigurnosne kopije jednim klikom, ili upotrijebite WordPress dodatak za sigurnosno kopiranje.
- U administratorskoj zoni WordPressa idite na Dashboard pa Updates, ili Plugins pa Installed Plugins. Ako je ažuriranje Burst Statisticsa navedeno, instalirajte ga odavde.
- Ako se ažuriranje ne pojavi, najnovije izdanje možete preuzeti izravno sa stranice dodatka u direktoriju WordPress.org, Burst Statistics, i ažurirati putem Plugins pa Add New Plugin pa Upload Plugin.
- Nakon ažuriranja potvrdite novi broj verzije (3.4.2 ili noviji) prema gornjim koracima i provjerite da se vaše web-mjesto normalno učitava.
Kad ste već tu, vrijedi potvrditi da su jezgra WordPressa i vaši ostali dodaci ažurni, budući da isto načelo vrijedi za sve njih.
Ako ste koristili zahvaćenu verziju
Budući da se ova ranjivost aktivno iskorištava za preuzimanje web-mjesta, web-mjesto na kojem je radila zahvaćena verzija ne bi trebalo pretpostaviti da je puko ažuriranje dovoljno. Ažuriranje uklanja ranjivost, ali ne poništava pristup koji je napadač možda već stekao. Vi (ili vaš webmaster) trebali biste to provjeriti na vlastitom web-mjestu:
- Pregledajte svoje administratorske račune. U Users pa All Users filtrirajte po Administrator i uklonite svaki račun koji ne prepoznajete. Napadači obično dodaju novog administratorskog korisnika kako bi zadržali pristup.
- Pregledajte nedavno instalirane ili izmijenjene dodatke i teme. Potražite bilo što što niste sami instalirali te dodatke s generičkim ili nepoznatim nazivima: zlonamjeran dodatak ili tema uobičajen je način postavljanja stražnjih vrata.
- Pregledajte aplikacijske lozinke. Za svakog korisnika (Users pa korisnikov Profile) provjerite odjeljak Application Passwords i opozovite svaki unos koji niste sami stvorili.
- Pazite na druge znakove. Neočekivani novi sadržaj ili stranice, izmjene administratorske e-pošte ili postavki URL-a web-mjesta, ili nepoznati zakazani zadaci vrijedni su provjere.
Ako pronađete dokaze o neovlaštenom pristupu, tretirajte web-mjesto kao kompromitirano: uklonite sve zlonamjerne korisnike, dodatke ili teme, promijenite svoje vjerodajnice (WordPress administracija, baza podataka i hosting panel) i razmotrite vraćanje iz poznato ispravne sigurnosne kopije napravljene prije upada. Ako vaša organizacija ima tim za IT sigurnost, uključite ih.
Želim biti jasan: nisam provjeravao vaše web-mjesto ni na jedan od ovih pokazatelja i ne znam je li vaše web-mjesto bilo zahvaćeno. Ovaj je popis ovdje kako biste mogli provjeriti sami.
Nemam webmastera / zapeo sam
Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.
Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.
Kontakt
Evan Harris, istraživač sigurnosti
- E-pošta: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.
Reference
Službene obavijesti i praćenje
Proizvođač / dodatak