Websites aangevallen via beveiligingslek in ImageMagick
Websites worden op dit moment aangevallen via een beveiligingslek in ImageMagick dat deze week werd onthuld en waarvoor vrijdag een update verscheen. ImageMagick is een softwarebibliotheek voor het verwerken van afbeeldingen en wordt door een groot aantal websites en progamma's gebruikt.
Websites die toestaan dat hun gebruikers afbeeldingen uploaden, bijvoorbeeld avatars of profielfoto's, en deze bestanden via ImageMagick verwerken, lopen risico. Een aanvaller kan in het ergste geval de website en webserver door het uploaden van een kwaadaardige afbeelding overnemen. Beveiligingsbedrijf Sucuri meldt nu dat het aanvallen op websites heeft waargenomen. Aanvallers blijken automatisch op websites te zoeken naar de mogelijkheid om bestanden te uploaden.
Er wordt dan gescand naar links eindigend op upload.php en imgupload.php. Vervolgens wordt er een jpg-bestand verstuurd. De afbeelding bevat kwaadaardige code waardoor de aanvaller vervolgens willekeurige shellcommando's kan uitvoeren. De gehackte server wordt vervolgens op afstand bestuurd. Het Nationaal Cyber Security Center (NCSC) van de overheid geeft op deze pagina een overzicht van de kwetsbare programma's die van ImageMagick gebruikmaken en de updates die ervoor zijn uitgekomen.
Het zal ook weer eens niet PHP zijn... :-(
Het zal ook weer eens niet PHP zijn... :-(
Wat wil je daar precies mee zeggen? Dat er in code die in een andere (script)taal geschreven worden per definitie minder bugs zitten? Dit onderzoek spreekt dat dan tegen.
https://gcn.com/articles/2014/04/24/programming-language-security.aspx
(zelf helemaal geen fan van PHP trouwens. Maar dat het per definitie onveiliger is, nee, dat geloof ik niet zo. Crappy code kan je in elke taal schrijven.
Het zal ook weer eens niet PHP zijn... :-(
- PHP draait ook vaak op systemen van mensen die security minder belangrijk vinden, veel vaker dan andere codetalen
- PHP is makkelijk te leren en toegankelijk, en is dusdanig ook veel gebruikt door mensen die nog niet zoveel verstand van security hebben
Geef men een 'machtig wapen', dat bij verkeerd gebruik ook kan back-firen. Gaan we dan PHP de schuld geven of de gebruiker? Kortom, hierover kan men uren discussiëren. Maar om nu te zeggen dat 1 partij fout is, sowieso betekenisloos.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.