Sårbarhet i Wordpress öppnade en fjärdedel av webben för hack

Lyckligt ovetandes surfar många av oss runt på sajter som i mer eller mindre utsträckning är sårbara för allsköns virus och obehagligheter. Ibland är de sajterna fler än önskat, som när en fjärdedel av webben ligger i riskzonen. Detta på grund av sårbarheter i kärnan i Wordpress mjukvara som öppnade för attacker. En lyckad attack skulle kunna ge hackare en chans att lägga upp i princip vad de vill.

Felet upptäcktes enligt The Register av en utvecklare på Wordfence, ett säkerhetsplugin för Wordpress. Innan felet uppdagas och åtgärdades kunde i stort sett vem som helst lägga upp vad som helst på 27 procent av världens webbsajter.

Läs också: Varning: Ransomware sprids via Facebook-meddelanden

Sårbarheten hittades i servern api.wordpress.org, som har en mycket central roll i Wordpress ekosystem. Därifrån släpps alla automatiska uppdatering till samtliga webbsidor. Kommer ett virus åt denna del av systemet kan en angripare helt plötsligt lägga in sin egen url för att ladda ner eller installera mjukvara på en Wordpressida. Helt automatiskt och över hela plattformen.

”Detta är möjligt på grund av att Wordpress i sig själv inte erbjuder någon signatur för verifikation från mjukvaran som ska installeras. Den litar på url:en och det paket som läggs in av api.wordpress.org”, skriver Wordfence i blogginlägget.

Matt Barry, ansvarig utvecklare för Wordfence, säger att hackare har kunnat lägga in egna, mycket svaga, hashalgoritmer som en del i verifikationsprocessen. Vilket i sin tur gjorde att en hemlig nyckel kunde knäckas inom loppet av ett par timmar. Något som ska fångas upp av säkerhetssystemet, men eftersom det inte gjordes in någon högre hastighet passerade inbrytningsförsöken under radarn, skriver The Register.

Enligt Wordpress egna uppskattningar körs omkring 27 procent av alla sajter på internet på deras plattform. Och felet skulle kunna ha påverkat samtliga.

Läs också: Mozilla släpper ny superprivat Firefox till Iphone

”Vi analyserade koden och hittade sårbarheter som gjorde det möjligt för hackare att köra sin egen kod i api.wordpress.org och få tillgång till den”, skriver Matt Barry.

Men attacken behövde stannade inte där. För när det väl fanns en väg in och viruset var på plats. Ja då kunde också den automatiska uppdateringen slås ut. Kort sagt: Wordpress skulle inte kunna laga sårbarheten.

Felet uppdagades den 2 september och lagningen skickades ut fem dagar senare. Matt Barry tycker dock fortfarande att servern api.wordpress.org är en svag punkt i ekosystemet. För det borde inte komma som en överraskning för Wordpress, bristerna vid installationen av uppdateringar har påpekats tidigare. Men de tycks inte ha lyssnat.