Exploit u Pluginu: Elementor pro

WordPress, kao jedna od najkorišćenijih CMS platformi današnjice, vrlo često biva na meti hakera. Svojom popularnošću, sam WordPress, tako i njegovi plugini su zaslužni za to da ova grupa ljudi aktivno prati ranjivosti i iskorišćava ih. U jednom od popularnijih Page Builder dodatku, koji ima više od 11 miliona instalacija – Elementor Pro, otkrivena je veoma ozbiljna ranjivost.

Elementor Pro je dodatak za pravljenje WordPress stranica koji omogućava korisnicima da lako prave sajtove profesionalnog izgleda bez znanja kako da kodiraju, a sadrži drag&drop metodu za pravljenje tema, kolekciju šablona, podršku za prilagođene vidgete i alatku za pravljenje WooCommerce online prodavnice.

Ranjivost o kojoj pišemo, otkrivena je 18. marta 2023., a tehnički detalji o tome kako se ranjivost može iskoristiti kada se instalira WooCommerce, ugledali su svetlost dana prošle nedelje.

Problem koji utiče na verziju 3.11.6 i sve verzije pre nje, omogućava autentifikovanim korisnicima, kao što su kupci prodavnice ili članovi sajta, da promene podešavanja sajta, pa čak i preuzmu kontrolu nad sajtom u potpunosti.

Kako smo saznali, ranjivost se odnosi na loš access-control na modulu WooCommerce dodatka („elementor-pro/modules/woocommerce/module.php„), jer omogućava bilo kome da menja opcije WordPress-a u bazi podataka bez odgovarajuće validacije. Dakle, ovaj bug je izvodljiv kroz vulnerabilnu ajax akciju, pro_woocommerce_update_page_option u kojoj je veoma loše implementirana validacija unosa i nedostaje joj niz provera. Autorizovani napadač može iskoristiti ranjivost da napravi administratorski nalog omogućavajući registraciju i postavljajući defaultnu rolu novoregistrovanog korisnika da bude administrator. Takođe, u stanju je da promeni administratorsku email adresu, ili da u potpunosti preusmeri sav saobraćaj na maliciozne sajtove, promenom siteurl opcije. Za ovaj bug je važno napomenuti da se može iskoristiti na sajtu na kome se nalazi plugin WooCommerce, kao i odgovarajući ranjivi modul plugina Elementor Pro.

Ukoliko posedujete virtuelni server, VPS (kod nas, ili na bilo kom drugom mestu), i ako imate kredencijale za pristup Vašem DB serveru, proverite da li je vaš siteurl ispravan komandom:

echo "SELECT * FROM your_db.wp_options WHERE `option_name`='siteurl';" | mysql

Ovaj upit koji smo dali kao primer vraća rezultat vaše siteurl opcije WordPress-a.

Elementor Plugin – najčešće iskorišćavan

Hakeri veoma aktivno i često iskorišćavaju ovu Elementor Pro ranjivost, koristeći je da preusmere posetioce na maliciozne domene, kao i da „podignu“ sporedni ulaz na već zaraženi sajt. Ovakav način nelegalnog pristupa se uglavnom nalazi u fajlovima wp-resortpark.zip, wp-rate.php i/ili lll.zip. Iako nema mnogo detalja kako se koriste ovi fajlovi, došli smo do informacije da se u arhivi lll.zip nalazi PHP skripta koja omogućava upload dodatnih fajlova na zaraženom sajtu. Ovakva vrsta „upada“ omogućava napadaču da ukrade podatke ili da sebi dodeli punu kontrolu nad vašim sajtom.

Došli smo takođe do informacije da se napadi izvršavaju najčeće sa sledećih IP adresa, te je savet da ih blokirate:

• 193.136.194.63;
• 193.169.195.64; i
• 194.135.30.6

Ukoliko vaš sajt koristi Elementor Pro plugin, obavezno ga ažurirajte na verziju 3.11.7 ili noviju (poslednja je 3.12.0) što je pre moguće, jer ova ranjivost preti i vašem sajtu.

Prethodne nedelje je WordPress takođe forsirao update WooCommerce Payments plugina za online prodavnice kako bi sprečio neautorizovane napadače da dodele sebi administratorske privilegije na ranjivim sajtovima.