В рамках обновления WordPress до версии 5.1 разработчики планируют оснастить CMS встроенной защитой от «белого экрана смерти» (White Screen Of Death, WSOD), возникающего из-за фатальных ошибок PHP. Новая функция — WSOD Protection — должна упростить восстановление работоспособности сайтов. Однако ИБ-исследователи считают, что она может сыграть на руку злоумышленникам.

Изначально спорная функция создавалась, чтобы упростить перевод сайтов с устаревших серверов на базе PHP 5.x на новые ветки PHP 7.x. В случае сбоя она обнаруживает и устраняет практически любую ошибку и ее причину, в том числе зависшую тему или плагин. Последнее и привлекло внимание исследователей — они считают, что эта функция позволит злоумышленникам отключать расширения, обеспечивающие безопасность сайта.

Независимый ИБ-эксперт Славко Михайлоски (Slavco Mihajloski) утверждает, что атакующие смогут вызвать фатальную ошибку PHP с помощью эксплойтов в плагинах WordPress. Когда в дело вступит WSOD Protection, работа плагина будет приостановлена, а злоумышленники смогут отключить отвечающие за безопасность расширения и опции: сканеры, брандмауэры или двухфакторную аутентификацию.

«Должен быть лучший способ обнаружить и исправить ошибки PHP, без отключения расширений, — считает Пэт Чаволелла (Pat Ciavolella), руководитель отдела цифровой безопасности и операций в компании Media Trust. По его мнению, любая пауза в работе плагинов делает сайты уязвимыми для атак. Поэтому он рекомендует владельцам ресурсов, использующих WSOD Protection, отслеживать весь запускаемый код, чтобы гарантировать отсутствие угроз и конфиденциальность пользователей.

Мэтт Руснак (Matt Rusnak), ведущий специалист по тестированию в WordFence, уже продумал сценарии атаки, к которым могут прибегнуть злоумышленники. Он утверждает, что WSOD Protection способен заморозить работу плагина из-за другого расширения, использующего слишком много памяти. Также для массовой приостановки работы плагинов атакующие могут эксплуатировать уязвимости локального внедрения файлов в расширения.

Команда WordPress пока что не сообщила об устранении уязвимости. Однако в ответе Руснаку разработчики рассказали о планах ввести опцию WP_DISABLE_FATAL_ERROR_HANDLER, позволяющую отключить WSOD Protection, — пользователям будет достаточно добавить ее в файл wp-config.php.

Если эта возможность будет реализована, эксперты рекомендуют владельцам сайтов активировать защиту от белого экрана смерти только в момент обновления PHP-сервера, ядра CMS, а также при обновлении плагинов и тем.

Напомним, что включить наличие PHP 7.0 в список минимальных требований команда WordPress планирует уже в декабре 2019 года. Владельцы сайтов, использующих устаревшие версии PHP, увидят призыв обновиться прямо в панели управления CMS начиная с 21 февраля.

Категории: Главное, Кибероборона, Уязвимости