Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
Чем опасна уязвимость CVE-2024-10924
Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
Кто уязвим для CVE-2024-10924
Уязвимы пользователи плагина Really Simple Security как платных версий, так и бесплатной, начиная от 9.0.0 и заканчивая 9.1.1.1. Впрочем, для эксплуатации CVE-2024-10924 необходимо, чтобы в плагине была включена функция проверки двухфакторной аутентификации (по умолчанию она выключена, однако многие используют плагин именно ради этой фичи).
Благодаря существованию бесплатной версии плагина, он пользуется огромной популярностью: исследователи говорят о 4 миллионах сайтов, на которых он установлен.
Как оставаться в безопасности
Первым делом рекомендуется обновить плагин до версии 9.1.2. Если по каким-либо причинам это невозможно, то стоит отключить проверку двухфакторной аутентификации, однако это заведомо плохое решение, ибо само по себе ослабляет защиту вашего сайта. WordPress.org задействовал механизм автоматического обновления плагина, однако администраторам рекомендуется зайти в панель управления и убедиться в том, что плагин обновился.
На сайте разработчика плагина также есть раздел с советами по его обновлению в том случае, если автоматическое обновление не срабатывает.
Кроме того, даже если вы оперативно обновили плагин и на первый взгляд никакой вредоносной активности на сайте не заметили, имеет смысл внимательно изучить списки пользователей с правами администратора — просто чтобы убедиться, что там не появилось новых незнакомых записей.