Nieuws
image

Panama Papers waarschijnlijk via WordPressplug-in gestolen

maandag 11 april 2016, 10:41 door Redactie, 4 reacties

De aanvaller die 11,5 miljoen bestanden van het Panamese juridische advieskantoor Mossack Fonseca wist te stelen, beter bekend als de Panama Papers, heeft waarschijnlijk een bekend lek in een populaire WordPressplug-in gebruikt. Dat stellen de ontwikkelaars van Wordfence, ook een WordPressplug-in.

De Panama Papers laten zien hoe politici, sporters en andere bekendheden miljarden in belastingparadijzen stallen. De Süddeutsche Zeitung zou de bestanden via een anonieme bron hebben verkregen. Het gaat om 2,6TB aan data. De 11,5 miljoen documenten bestaan uit 4,8 miljoen e-mails, 3 miljoen databasebestanden, 2,1 miljoen pdf-documenten, 1,1 miljoen afbeeldingen en 320.00 tekstdocumenten.

Volgens Mark Maunder van Wordfence draaide de website van Mossack Fonseca op WordPress en had een kwetsbare versie van de Revolution Sliderplug-in geïnstalleerd. De WordPress-server draaide op hetzelfde netwerk als hun e-mailserver toen de hack plaatsvond. Het lek in Revolution Slider wordt al sinds 2014 aangevallen. Naast Revolution Slider had het adviesbureau ook twee plug-ins voor het beheren van nieuwsbrieven en versturen van e-mail geïnstalleerd Deze plug-ins hebben toegang tot de e-mailserver en bewaren de inloggegevens voor de server in platte tekst in de WordPressdatabase.

Maunder merkt op dat de aanvaller waarschijnlijk via de kwetsbaarheid in Revolution Slider toegang tot WordPress gekregen. Hiermee kreeg hij ook toegang tot de WordPressdatabase. Via de database kon de aanvaller vervolgens het adres van de mailserver en benodigde inloggegevens achterhalen. Mossack Fonseca heeft nog niet laten weten hoe de aanvaller precies toegang tot de gegevens wist te krijgen, maar in een e-mail aan klanten werd wel over een mogelijke hack van de mailserver gesproken.

Reacties (4)
11-04-2016, 10:47 door Anoniem
Lijkt me sterk. Wired wist eerder te melden dat de klanten portal van Mossack Fonseca een lekke versie van drupal gebruikte, welke direct na de lek offline gehaald is.
11-04-2016, 11:20 door Anoniem
Door Anoniem: Lijkt me sterk. Wired wist eerder te melden dat de klanten portal van Mossack Fonseca een lekke versie van drupal gebruikte, welke direct na de lek offline gehaald is.

Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal
11-04-2016, 22:27 door Woopie
Ik denk, dat niet alleen de lekken, maar ook een langdurig- en/of diep-slapende systeembeheerder medeverantwoordelijk is.
2,6 terabyte trek je niet zomaar even door het lijntje, zelfs al zou dit glasvezel zijn, al betwijfel ik het laatste.
Dit moet dagen hebben geduurd.
12-04-2016, 11:04 door hx0r3z - Bijgewerkt: 12-04-2016, 11:23
Wordpress, Joomla en andere CMS systemen zijn niet slecht. Het probleem zit hem bij de eindgebruiker(beheerder) die zich totaal niet bewust is of het totaal niet intereseert dat ze al deze "mooie" plug-ins zorgenloos kan toevoegen. Deze plug-ins zijn door derde geschreven vaak zelfs met opzettelijk een bugdoor erin. Er zou best vanuit Wordpress of Joomla wel een functie geschreven mogen worden die tijdens het activeren/toevoegen van een plug-in wel even de plug-in naam,versie nummer, en checksum mogen controleren in een database voor bekende beveiligingsproblemen en op deze manier dan de gebruiker te kunnen waarschuwen indien er iets gigantisch fout zit, anders zal dit verhaaltje zich eindeloos herhalen...
Natuurlijk is het dan niet meer mogelijk voor een derde partij om zomaar even een plug-in te verkopen want deze zal dan niet in die database staan, deze zal eerst naar de maker van de CMS moeten worden verzonden.. Vrij lastige en omslachtige situatie dus. Het is kiezen tussen wat minder gebruiksvriendelijkheid of een plug-in systeem dat alles toestaat en ervoor zorgt dat een paar miljoen websites een risico lopen omdat de derde partij (maker van de plug-in) erg lax is wat betreft beveiliging.

Ik erger me er vaak genoeg aan hoe weinig kennis sommige "webdevelopers" hebben in het beveiligings vakgebeid. Wat dus als resultaat heeft dat door een stomme fout zoals het niet sanitizing van user-input duizende Joomla of Wordpress websites allemaal rouge requsts maken om zo een (distributed) deniel of service te kunnen uitvoeren.. Vaak duurt het ook nog eens een halve centennium in IT jaren voordat de webmaster erachter komt dat er iets mis is, lol. Vermoedelijk gebeurd dit wanneer de host op zijn flikker valt, of de bandwidth enorm is gestegen.. In ieder geval veel te laat dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search