Bezpieczeństwo wtyczek WordPress narażone na zagrożenie w wyniku ataku dostawców bibliotek JavaScript
Patchstack poinformował o istotnym zagrożeniu dla wtyczek WordPress wynikającym z odkrycia szczegółowo opisanego w ostrzeżeniu dotyczącym bezpieczeństwa opublikowanym dzisiaj.
Advisory odwołuje się do ataku na dostawcę bibliotek JavaScript o nazwie Polyfill.js, który został zgłoszony początkowo 25 czerwca przez firmę Sansec. Atak ten dotyczył domeny polyfill.io, na której znajduje się ta popularna biblioteka umożliwiająca korzystanie z nowoczesnych funkcji na starszych przeglądarkach internetowych, które nie mają natywnej obsługi takiej funkcjonalności.
Według ustaleń obu firm, atak wykorzystuje podatności w domenie polyfill.io, którą niedawno nabyła chińska firma o nazwie Funnull.
Do biblioteki hostowanej na tej domenie wprowadzono złośliwy kod JavaScript, co stwarza poważne zagrożenia, takie jak ataki typu cross-site scripting (XSS). Powstałe podatności mogą potencjalnie narazić dane użytkowników na niebezpieczeństwo i przekierować odwiedzających na złośliwe witryny, włączając w to oszukańcze platformy zakładów sportowych.
W ramach oryginalnej analizy, Sansec zidentyfikował również wiele skompromitowanych domen oprócz polyfill.io, włączając bootcdn.net i bootcss.com, co sugeruje, że atak jest bardziej rozległy w skali. Chociaż podjęto natychmiastowe działania w celu wyłączenia skompromitowanych domen, pozostaje ryzyko aż do dokładnego przeglądu i zabezpieczenia wszystkich dotkniętych elementów.
W ekosystemie WordPress badania przeprowadzone przez Patchstack ujawniły liczne wtyczki i motywy, które wciąż korzystają ze skryptów z tych skompromitowanych domen. Narażonymi wtyczkami są Amelia, WP User Frontend i Product Customer List for WooCommerce. Wszystkie wymienione wtyczki wraz z podatnymi wersjami zostały wymienione w ostrzeżeniu.
Administratorzy stron zdecydowanie zaleca się podjęcie natychmiastowych audytów i zastosowanie niezbędnych aktualizacji w celu minimalizacji potencjalnych podatności. Aby zapewnić większe bezpieczeństwo, Patchstack zaleca również usunięcie zależności od skompromitowanych domen i migrację do zaufanych sieci dostarczania treści, takich jak cdnjs od Cloudflare.
Dodatkowo, ciągłe monitorowanie i wdrożenie zasad polityki bezpieczeństwa treści (CSP) to kluczowe kroki w celu zapobiegania przyszłym próbom wstrzykiwania złośliwego kodu JavaScript i zapewnienia skutecznej ochrony przed rozwijającymi się zagrożeniami cybernetycznymi.
Źródło zdjęcia: Wirestock Creators / Shutterstock.com