Haavoittuvuuden löytänyt suomalainen WordPress-ylläpitäjä Seravo varoittaa, että WP File Manager -lisäosan nollapäivähaavoittuvuus on jo verkkorikollisten tiedossa.

”Rikolliset yrittävät hyödyntää tätä aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua yli puoleen Seravon ylläpitämistä sivustoista eli noin 2000 sivustoon hyödyntämällä löydettyä aukkoa”, toteaa Seravon toimitusjohtaja Otto Kekäläinen tiedotteessa.

”Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna”, Kekäläinen selittää.

Haavoittuvuudella on laajat vaikutukset, sillä Seravon mukaan WP File Manageria käyttää maailmalla yli 700 000 sivustoa.

Tietoturva-aukon tilkitsevä päivitys sisältyy WP File Managerin versioon 6.9. Seravon mukaan haavoittuvuus on kaikissa aikaisemmissa versioissa, joten päivittäminen on äärimmäisen tärkeää.

”Korjauspäivitys on syytä tehdä kiireellisesti, mutta keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut sen. WordPressin omien tilastojen mukaan osuus oli selvästi alle kymmenen prosenttia”, Kekäläinen sanoo tiedotteessa.

Kekäläinen muistuttaa, että myös vähemmän tärkeiltä tuntuvat WordPress-sivustot on syytä päivittää ajan tasalle. Yhden tietoturvalaiminlyönti kun voi johtaa toisen vahinkoon.

”Haluamme muistuttaa, että kaikkien yritysverkkosivustojen tulisi olla aktiivisesti ylläpidettyjä ja valvottuja. Vaikka sivusto ei tunnu tärkeältä, sen kautta voidaan hyökätä edelleen muille sivustoille, jolloin tietoturvan laiminlyönyt sivuston omistaja voi olla osavastuussa”

Haavoittuvuuden teknisiin yksityiskohtiin voi halutessaan perehtyä Seravon blogissa.