Nyt haavoittuvuus siellä, missä sitä viimeiseksi kaipaisi
Yleisen ja varsin suositun blogialustan WordPressin arkkitehtuuria muuttaa yksi lisäosa ikävällä tavalla, niin ettei se ole enää turvallinen. Backdoor in auto-update.php -lähdekoodin nopea tutkiminen ei jätä paljon arvailujen varaan: If olet sieltä ja sieltä, while esität pääsylupasi, then pääset sisään. Asiakkaillemme emme ole koskaan asentaneet kyseistä lisäosaa.
WordPress on ollut maineensa väärti ja hyvä kirjoitusalusta. Nyt yksi ainut lisäosan ohjelmistopäivitys tekee siitä haavoittuvan ja voi mitätöidä maineen.
Onko tässä mitään järkeä? On siinä, on toki. Se järki on ansaintamalli, joka ei ole ollut häävi. Kassavirtaa täytyy löytyä jostain, ja nettiympäristössä kalastellun informaation myynti on trendi, mutta sen julkinen tai puolijulkinen – ”emme kiellä, emmekä myönnä” – tunnustaminen on tätä aikaa. Kuka tietoa ostaa ja mitä sillä tehdään? Ostajatahoja on useita, mutta emme lähde niillä spekuloimaan.
Ansaintalogiikan puuttuminen on graafisen webin historian aikana näkynyt monen ilmaispalvelun tavassa toimia markkinoilla. Välillisesti on voitu päätellä, että joku maksaa lystin saadakseen jotakin haluamansa.
Edward ”Ed” Snowdenin jälkeisessä maailmassa olemme voineet havaita, että osa näistä ryvettyneistä palveluista toimii nyt mainosrahoitteisesti. Joku kuitenkin aina palaa tekemään epäilyttäviä aukkoja palveluunsa. Meillä on oikeus ja velvollisuus epäillä, että kaikkea niiden kautta kenties tapahtuvaa viestiliikennettä ei dokumentoida eikä kerrota julki.
Custom Content Type Manager haavoittuva
Tietoturvayhtiö Sucurin uskoo, että määrätty WordPress-lisäosa Custom Content Type Manager eli CCTM:n versio 0.9.8.8 on saastutettu ja tämä komponentti on nyt ohjelmoitu haavoittuvaksi. Väite on kova, sillä kyseessä on uusi WordPressin kehittäjä.
Uusi CCTM:n versio 0.9.8.8 asentaa tuhansiin ja taas tuhansiin vilpittömiin blogeihin takaoven, jonka kautta lisäosa muuttaa WordPress-asennuksen tiedostoja. Takaovi voi esimerkiksi vuotaa WordPress-käyttäjän kirjautumistunnukset verkkosivuilla selväkielisinä.
Lisää huolia aiheuttaa se, että CCTM:n käyttäjistä monet ovat päivittäneet haitalliseen versioon automaattisesti, jos suora päivitystoiminto oli kytketty päälle. Toiset ovat saattaneet asentaa itse haitallisen version tietämättä, mitä se oikeasti sisältää.
Pahantahtoinen kehittäjä Wooranker keksi keinon perustaa ylläpitäjän tili kaikille saastuneille verkkosivuille. Hänellä on myös kyky saada haltuunsa käyttäjien salasanat.
Haitallisen lisäosan käyttäjien tulee poistaa se heti ja peruuttaa WordPress-asennus standarditilaan. Jos taas CCTM:ää haluaa väen väkisin käyttää, sen viimeisin vakaa ja turvallinen versio on 0.9.8.6, neuvoo lataussivusto Softpedia.
