Kompromitovani WordPress sajtovi nakon prijema TLS (SSL) sertifikata
Napadači zloupotrebljavaju Certificate Transparency protokol (CT) da bi provalili na nove WordPress sajtove u kratkom periodu pre nego što se CMS instalira i zaštiti. Da pojasnimo, CT je bezbednosni web standard za praćenje i procenu TLS (odnosno SSL) sertifikata, koji se koristi za potvrdu identiteta web sajtova, a obezbeđuju ih izdavaoci sertifikata – certificate autorities (CA).
DigiCert CA je bio prvi koji je usvojio standard 2013. godine, koji zahteva od CA da odmah prijave sve sveže izdate sertifikate u javnim logovima u cilju otvorenosti i brzog otkrivanja lažnih ili zloupotrebljenih sertifikata. Međutim, sve je više dokaza da hakeri posmatraju ove logove kako bi locirali nove WordPress domene i sami postavili CMS nakon što su web administratori otpremili WordPress datoteke, ali još uvek nisu zaključali sajt lozinkom.
Pojavilo se nekoliko svedočenja o hakovanim sajtovima u roku od nekoliko minuta, čak i sekundi, od zahtevanja TLS sertifikata. Vlasnici domena su prijavili pojavu zlonamerne datoteke (/wp-includes/.query.php) i sajtove koji su bili primorani da učestvuju u DDoS napadima.
Prema istraživačima Internet Security Research Group, dobijanje sertifikata od Let’s Encrypt može olakšati otkrivanje nove instalacije, ali nikako ne bi trebalo postavljati WordPress instalaciju na Internet dok ona ne bude obezbeđena.
Iz Automattic-a navode da sajber napadi „utiču samo na direktne instalacije – ako je sajt na bilo kom preporučenom hostu ili je proces instalacije automatizovan, obično postoji unapred podešena konfiguraciona datoteka tako da je proces instalacije kompletan, odnosno nije interaktivan i male su šanse za taj napad.” Drugim rečima, nije realno da se ovakva vrsta napada desi često, ali ipak postoji mogućnost, zbog čega se sada sve oči uprte u Automattic.
WordPress time je, kako navode u kompaniji Automattic, u potpunosti svestan ovog problema i ubrzano radi na njegovorom rešavanju. Već postoji nekoliko ideja od strane developerske zajednice, ali je u ovoj fazi još rano govoriti o nekom konkretnom rešenju. Ostaje da sačekamo da kao i do sada uspešno reše i ovaj problem.
Nenad Mihajlović