חולשת אבטחה מידע שהתגלתה בתוסף תוכנה פופולרי לוורדפרס מעוררת דאגה בקרב מנהלי אבטחה בחברות רבות. החולשה התגלתה בתוסף Essential Addons המיועדת לאתרים שפותחו על בסיס פלטפורמת האתרים של אלמנטור, חברה ישראלית מרמת גן. לתוסף הבעייתי אין קשר ישיר לאלמנטור והוא פותח על ידי חברת WPDeveloper מבנגלדש, בהתבסס על קוד פתוח.
יחד עם זאת, התוסף נחשב לפופולרי ביותר בקרב קהילת אלמנטור. בחנות וורדפרס צבר התוסף יותר ממיליון הורדות, כאשר מתחרים אחרים, כמו Premium Addons ו-ElementsKits זכו למאות אלפי התקנות ופחות. ולמרות שהתוסף הבעייתי לא פותח בידי אנשי החברה הישראלית, הוא מקודם גם היום בראש רשימת התוספים החיצוניים המומלצים באתר של אלמנטור , ובבלוג החברה.
מאלמנטור נמסר: "מדובר בתוסף עבור אלמנטור שפותח ביוזמה עצמאית ללא מעורבות של אלמנטור, הוא לא אושר או הופץ דרכנו. זה תרחיש נפוץ בעולמות הקוד הפתוח שהמון אנשים מייצרים הרחבות ותוספים למערכות. במקרה של התוסף הנוכחי מפתחים סגרו את פרצת האבטחה במהירות ונעשה בו שימוש בכ-4% בלבד מאתרי אלמנטור".
שמוליק יחזקאל, מנהל חטיבת מודיעין הסייבר בחברת אבטחת המידע CYE, מודה כי מדובר באחת הפרצות החמורות של התקופה האחרונה מבחינת ההיקף שלה - נזק פוטנציאלי ללפחות מיליון אתרים וחברות - ומבחינת פוטנציאל התקיפה שהיא מגלמת בה.
"זו פירצה שמאפשרת לכל תוקף, החל מפושע סייבר פשוט ועד קבוצה המייצגת מדינה להיכנס לוורדפרס, ולהשתיל בה קוד מפגע שיאפשר בעתיד לראות מרחוק את כל מה שקורה באתר ובהמשך לבצע פעולות התקפיות לטובת השבתתו, או אף להתחבר לרשתות הארגוניות של החברות ולבצע תקיפות של קריאת מידע, גניבת מידע והשבתה של המערכת".
בפועל, מסביר יחזקאל, מדובר בחולשה המאפשרת לכל תוקף לשתול דרך וורדפרס שורת קוד המשמשת עבורו מעין דלת כניסה חופשית שתאפשר לו כניסה ויציאה מהרשת הארגונית בכל הזדמנות שייחפוץ. "קוד פוגעני (Web shell) שכזה יכול לחיות באתר של חברה זו או אחרת שנים בלי שאיש ישים לב אליו. התוקף יכול להחליט בכל רגע, כולל בשנייה לאחר שנסתמת הפרצה, שהוא מעוניין לתקוף".
לטענת יחזקאל, העובדה שקיים שיח ער בדארקנט על החולשה, מצביעה על כך שתוקפים רבים ככל הנראה כבר עשו שימוש בה כדי לגרום נזקים. החולשה פורסמה לראשונה ב-21 בינואר על ידי חוקר ממזרח אסיה, מה שמעיד על כך שהיא קיימת זמן מה עוד קודם לכן. ב-28 בינואר פורסם עדכון לתוסף הסותם את הפרצה (פאץ') ונכון להיום הורידו אותו כבר יותר מ-650 אלף משתמשים.
אתמול שוחררה גרסה מתקדמת יותר החוסמת חולשות נוספות (גרסה 5.0.6) עם זאת, אתרים רבים עוד טרם עשו זאת, מה שמהווה איום מיידי לא רק על שלמותם והמידע הטמון בהם, אלא גם על מסדי הנתונים והמוצרים המקוונים המחוברים אליהם.
תקיפה שכזו, במידה והיא מתקיימת, היא דוגמה נוספת לחדירה לארגון באמצעות מה שמכונה כ"מתקפות שרשרת אספקה", כלומר פריצה לפעילות אחת באמצעות פלטפורמה טכנולוגית הקשורה בה, דוגמת שרת אירוח או אתר אינטרנט. חברות רבות, בהן חברות ענק או משרדים ממשלתיים, מקימות אתר שיווקי או שירותי המבוסס על וורדפרס - שאמנם איננו מכיל את עיקר פעילות החברה, אך קשור בצמתים קריטיים לתשתיות הארגוניות. בכך, אתרי וורדפרס מהווים שער אחורי אטרקטיבי עבור תוקפים רבים לכניסה לארגון.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
