Kotimaa

Wordpressissä vakava tietoturva-aukko – korjauspäivitys kannattaa tehdä heti

Jori Liimatainen

Wordpress-julkaisujärjestelmästä on löytynyt vakava nollapäivähaavoittuvuus. Vika on julkaisujärjestelmän WP File Manager -lisäosassa. Tietoturva-aukon löysi suomalainen Wordpress-ylläpitäjä Seravo.

Seravon mukaan haavoittuvuuden paikkaava päivitys on jo julkaistu. Ylläpitäjä kehottaa asentamaan päivityksen heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet pahantekoon.

Seravosta kerrotaan, että sen ylläpitämissä palveluissa lisäosaan kohdistuvat hyökkäykset estettiin jo ennen virallisen lisäosan julkaisua.

Wordpress on maailman yleisin verkkosivustojen julkaisujärjestelmä, ja sitä käyttää Suomessa yli 30 prosenttia sivustoista.

– Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa Wordpress-sivustolla, jossa lisäosa on asennettuna, toimitusjohtaja Otto Kekäläinen kertoo Seravon tiedotteessa.

Jatkuu mainoksen jälkeen
Mainos päättyy

– Rikolliset yrittävät hyödyntää tätä aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon hyödyntämällä löydettyä aukkoa, Kekäläinen sanoo.

WP FIle Manager -lisäosa on käytössä yli 700 000 sivustolla maailmassa ja se on yleinen myös Suomessa.

Seravo ilmoitti viasta lisäosan kehittäjälle, joka julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.

– Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. Wordpressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia, Kekäläinen toteaa.

Seravon mukaan nollapäivähaavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Verkkohyökkäys pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.

Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon.

Haluatko käyttää

Osallistuaksesi keskusteluihin ole hyvä ja kirjaudu TS-tunnuksillasi

Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Aloita keskustelu tästä jutusta
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.