인기 있는 WordPress 플러그인인 "Ultimate Addons for Elementor" 및 "Ultimate Addons for Beaver Builder"에서 치명적인 취약점이 발견되었습니다. Brainstorm Force 팀에서 개발한 Ultimate Addons 플러그인을 사용하면 WordPress 사이트 소유자가 Elementor 및 Beaver Builder와 같은 인기 있는 페이지 빌더에 추가 위젯/기능을 사용할 수 있습니다.
Ultimate Addons는 웹사이트에 취약점 패치에 관한 권고를 발표하여 사용자에게 플러그인 업데이트를 요청했습니다. 이 문제에 대해 더 자세히 설명하기 위해 해킹을 허용한 취약점 세부정보를 파헤쳤습니다.
Brainstorm Force 팀은 7시간 이내에 취약점을 패치하는 민첩성에 박수를 보냅니다!
패치된 버전은 다음과 같습니다.
- Elementor용 Ultimate 애드온용 1.20.1
- Beaver 빌더를 위한 궁극의 애드온용 1.24.1
플러그인이 설치되어 있고 위에서 언급한 것보다 이전 버전이 있는 경우 즉시 플러그인을 업데이트하십시오.
Ultimate Addons 플러그인은 수천 개의 사이트에 적극적으로 설치됩니다. 또한 취약점의 특성을 고려할 때 해커는 사용자의 이메일 ID에 액세스할 수 있는 경우 플러그인이 설치된 모든 WordPress 사이트에 절대적으로 액세스할 수 있습니다.
즉시 업데이트하시기 바랍니다.
현미경의 취약점
'Login Form' 위젯 아래의 Google 및 Facebook 로그인 기능에는 깨진 인증 및 세션 관리 취약점이 포함되어 있습니다. 이 취약점으로 인해 해커는 사용자의 이메일 주소를 알고 있는 경우 암호 없이 사용자의 WordPress 관리 영역에 로그인할 수 있습니다. 이 방법을 이용하면 워드프레스 관리자 계정으로도 로그인이 가능합니다.
다른 정보 수집 기술을 활용하여 관리자의 이메일 주소를 알아내고 이 취약점을 악용할 수 있습니다.
관련 가이드 – WordPress 해킹 제거
관리자 액세스 권한이 부여되면 해커는 다양한 방법으로 웹 사이트를 추가로 악용할 수 있는 권한 및 제어 권한을 받게 됩니다. 가장 심각한 것은 변조, 리디렉션, 스팸, 데이터 도용(신원 도용 + 금융 데이터 도용), 악성 팝업, 데이터베이스 액세스 등입니다.
해킹의 기술적 세부사항
Google 및 Facebook 로그인 모듈의 약한 유효성 검사로 인해 해커는 Ultimate Addons 플러그인에서 사용하는 wp-admin AJAX 기능을 악용할 수 있습니다.
소셜 로그인 모듈을 사용하는 사이트의 경우 공격자는 Google/Facebook을 통해 로그인을 성공적으로 승인한 후 AJAX 기능에 대한 응답으로 전송되는 이메일 ID를 변조/수정할 수 있습니다. 플러그인은 사용자의 이메일 ID를 캡처하고 Google/Facebook에서 보낸 데이터의 진위 여부를 확인하지 않고 로그인을 수행합니다. 코드는 WordPress에서 설정한 nonce 토큰(CSRF 토큰과 유사)을 확인하여 AJAX 호출을 확인합니다. 불행히도 Google 및 Facebook API가 동일한 이메일 ID를 반환했는지 확인하는 것만으로는 충분하지 않습니다.
아래 스크린샷에서 볼 수 있듯이 POST 데이터는 유효성 검사 없이 사용자 로그인에 직접 사용됩니다. Google 및 Facebook OAuth에서 제공하는 데이터의 진위 여부를 서비스에 대한 확인 API 호출을 통해 확인하는 것이 좋습니다.
자세한 내용:https://developers.google.com/identity/sign-in/web/backend-auth
해킹 당했습니까? 즉각적인 도움 받기
이미 해킹을 당했다면 Astra에서 즉시 악성코드를 제거하여 사이트를 빠르게 복원할 수 있습니다. 이미 Astra 고객이라면 당사의 가상 패치 기술이 이러한 취약점으로부터 귀하를 보호할 것입니다.
해킹되었는지 어떻게 확인할 수 있나요?
다음 중 하나라도 표시되면 해킹된 것입니다.
- WordPress 관리 영역에서 생성된 새 관리자
- 귀하의 웹사이트가 악성 사이트로 리디렉션되고 있습니다.
- 서버에서 스팸/피싱 이메일 전송 중
- 방문자가 웹사이트를 열 때 악성 팝업이 표시됨
- 웹사이트 방문자는 Google에서 빨간색 경고 페이지를 표시합니다.
위에 나열되지 않은 증상이 보이면 전체 해킹 징후 목록을 참조하세요.
무엇을 할 수 있나요?
WordPress 웹사이트의 정기적인 유지 관리자이고 해킹을 수정하고 재발을 방지하려면 다음을 수행해야 합니다.
- 취약한 플러그인, WordPress 코어, 기타 플러그인 업데이트
- 웹사이트 관리자를 감사하고 새 관리자 계정이 추가되었는지 확인합니다. 해커가 관리자 액세스 권한을 얻은 후에는 취약점이 수정된 후에도 사이트에 대한 액세스 권한을 유지하기 위해 새 관리자 사용자를 생성할 수 있습니다.
- FTP/SFTP 또는 cPanel의 파일 관리자 모듈을 통해 서버에 로그인하고 사이트 루트에서 알 수 없는 파일 이름을 확인합니다. 익스플로잇된 웹사이트에서 다음 파일이 발견되었습니다:tmp.zip, wp-xmlrpc.php, adminer.php
- WordPress 관리 영역에 이중 인증(2FA) 활성화
- Enable IP restrictions on the wp-admin area, so that only whitelisted IPs can access the panels.
Related :The Complete WordPress Malware Removal Guide
The Correct Way to Update
How to update the Ultimate Addons for Elementor?
To update the Ultimate Addons for Elementor (or UAE as they say it), follow these steps:
- Download the latest version from here.
- Delete the previously installed version. Don’t worry no data will be lost.
- Upload the zip file you downloaded from above as a new plugin in your WP-admin
- Install and activate.
And, you are all set.
How to update the Ultimate Addons for Beaver Builder?
To update the Ultimate Addons for Beaver Builder (or UABB as they say it), follow these steps:
- Download the latest version from here.
- Delete the previously installed version. Don’t worry no data will be lost.
- Upload the zip file you downloaded from above as a new plugin in your WP-admin
- Install and activate.
And, you are all set.
Secure your website with Astra
휴! You are not hacked. But don’t leave your website security to luck. Not securing your website is only going to cost you in the long run. Don’t be at the mercy of the hackers, hold the reins to your website’s wellbeing.
Opt for a trusted security solution and leverage due security &protection on your website.
질문이 있으신가요? Comment below or get in touch with a security expert, we’ll be happy to help 🙂