WordPress plugin “Really Simple Security” (ranije poznat kao “Really Simple SSL”) pogođen je kritičnom ranjivošću koja omogućava napadačima da zaobiđu autentifikaciju i steknu administrativni pristup ugroženim sajtovima.

O pluginu i prirodi problema

“Really Simple Security” je popularan WordPress bezbednosni plugin koji pruža SSL konfiguraciju, zaštitu prilikom prijave, dvofaktorsku autentifikaciju (2FA) i detekciju ranjivosti u realnom vremenu. Besplatna verzija ovog plugina koristi se na preko četiri miliona sajtova širom sveta, što ga čini jednim od najrasprostranjenijih alata za zaštitu WordPress platforme.

Međutim, Wordfence, renomirana kompanija specijalizovana za WordPress bezbednost, otkrila je ranjivost označenu kao CVE-2024-10924, koja omogućava zaobilaženje autentifikacije i preuzimanje administrativnog pristupa sajtovima. Ova ranjivost je ocenjena kao jedna od najozbiljnijih u poslednjih 12 godina.

Kako funkcioniše ranjivost?

Ranjivost se nalazi u REST API funkcijama dvofaktorske autentifikacije ovog plugina. Problem nastaje u funkciji check_login_and_get_user(), koja pogrešno obrađuje parametre user_id i login_nonce.

Ako je parametar login_nonce nevažeći, umesto da odbaci zahtev, funkcija poziva authenticate_and_redirect(), koja autentifikuje korisnika isključivo na osnovu user_id. Na taj način, napadači mogu lako da zaobiđu zaštitu i steknu pristup čak i administratorskim nalozima.

Ironično, ranjivost se aktivira samo kada je uključena dvofaktorska autentifikacija (2FA), koja bi trebalo da obezbedi dodatni nivo sigurnosti. Iako je 2FA podrazumevano isključena, mnogi administratori je aktiviraju radi veće zaštite svojih naloga, čime nesvesno izlažu svoje sajtove riziku.

Koje verzije su pogođene?

Ranjivost pogađa sve verzije plugina od 9.0.0 do 9.1.1.1, uključujući besplatne i Pro verzije, kao i Pro Multisite izdanja.

Rešenje problema

Razvijači “Really Simple Security” su reagovali i objavili zakrpu u verziji 9.1.2, koja je dostupna od 12. novembra za Pro korisnike i od 14. novembra za korisnike besplatne verzije.

Zakrpa rešava problem tako što funkcija check_login_and_get_user() sada ispravno obrađuje nevalidne login_nonce parametre i odmah prekida proces autentifikacije.

Važno: Administratori sajtova moraju da ažuriraju plugin na verziju 9.1.2 kako bi osigurali bezbednost svojih sajtova. Pro korisnici čije licence su istekle treba ručno da preuzmu i instaliraju novu verziju jer im automatska ažuriranja nisu dostupna.

Posledice i preporuke

Wordfence upozorava da je ova ranjivost izrazito opasna jer omogućava masovne napade putem automatizovanih skripti. Hosting provajderi su pozvani da primene force update za ugrožene sajtove i provere baze podataka kako bi osigurali da korisnici ne koriste starije, ranjive verzije plugina.

Trenutna statistika ukazuje da je od preko 4 miliona instalacija ovog plugina, samo oko 450.000 ažurirano na bezbednu verziju, što ostavlja oko 3,5 miliona sajtova potencijalno ugroženim.

Kako zaštititi svoj sajt?

1. Proverite verziju plugina: Uverite se da koristite verziju 9.1.2 ili noviju.
2. Redovno ažurirajte WordPress: Održavanje svih tema i plugina ažuriranim smanjuje rizik od napada.
3. Koristite proverene sigurnosne alate: Instalirajte dodatne bezbednosne alate za skeniranje potencijalnih ranjivosti.
4. Aktivirajte sigurnosni firewall: Ograničite pristup REST API funkcijama za neautorizovane korisnike.

Ova ranjivost podseća nas koliko je važno redovno ažuriranje WordPress sajtova i korišćenje sigurnosnih plugina sa pouzdanom podrškom. Administratori treba odmah da preduzmu potrebne mere kako bi zaštitili svoje sajtove od potencijalnih napada i osigurali sigurnost svojih korisnika.