Ongepatcht beveiligingslek in WordPress openbaar gemaakt
Er bevindt zich een ongepatcht beveiligingslek in WordPress waardoor aanvallers websites in bepaalde gevallen volledig kunnen overnemen, code op de onderliggende server kunnen uitvoeren en willekeurige bestanden kunnen verwijderen. De kwetsbaarheid is meer dan 7 maanden geleden aan de WordPress-ontwikkelaars gerapporteerd, maar een beveiligingsupdate is nog steeds niet voorhanden.
De kwetsbaarheid doet zich voor doordat gebruikersinvoer voor de deletefunctie niet goed wordt opgeschoond. Om van het lek gebruik te kunnen maken moet een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" is al voldoende om de kwetsbaarheid te misbruiken. Een aanvaller kan bijvoorbeeld het account van een WordPress-gebruiker proberen te kapen of misbruik van een ander beveiligingslek maken om hier toegang toe te krijgen.
Ook biedt het lek mogelijkheden voor kwaadwillende medewerkers van een WordPress-site. Wanneer de aanvaller over een account beschikt is het mogelijk om elk willekeurig WordPress-bestand te verwijderen, alsmede alle andere bestanden die op de server staan. Daarnaast kan de aanvaller bepaalde beveiligingsmaatregelen omzeilen en willekeurige code op de server uitvoeren. Tevens maakt de kwetsbaarheid het mogelijk om de WordPress-site over te nemen.
De ontwikkelaars van WordPress werden op 20 november vorig jaar over de kwetsbaarheid ingelicht. Op 24 januari van dit jaar liet het ontwikkelteam weten dat een update naar schatting 6 maanden in beslag zou nemen. Eind mei vroegen onderzoekers van securitybedrijf RIPS Technologies om een update, maar kregen geen reactie. Daarop zijn nu de details openbaar gemaakt. Ook heeft het securitybedrijf een tijdelijke "hotfix" gemaakt. Deze hotfix wordt met name aangeraden voor websites waar meerdere gebruikers op het WordPress-systeem kunnen inloggen.
Als ik in ISPConfig een "verse" Wordpress installeer (ja, ik heb de package-list geupdate...), en ik zet daarna enkel de niewste Sucuri erop, dan zegt Sucuri dat er twee originele Wordpress files helemaal niet origineel zijn. Maar door iets zijn vervangen. Waaronder de functions.php van Wordpress zelf. Op een verse nieuwe website met nieuw (sub)domein.
Het lijkt opgelost te zijn door in Wordpress zelf, Wordpress opnieuw te installeren. En dan handmatig de twee copy files, die Sucuri dan nog meldt, van de server te verwijderen.
Mijn ISPConfig is versie 3.1.11.
Kan iemand dit reproduceren en bevestigen?
Als ik in ISPConfig een "verse" Wordpress installeer (ja, ik heb de package-list geupdate...), en ik zet daarna enkel de niewste Sucuri erop, dan zegt Sucuri dat er twee originele Wordpress files helemaal niet origineel zijn. Maar door iets zijn vervangen. Waaronder de functions.php van Wordpress zelf. Op een verse nieuwe website met nieuw (sub)domein.
Het lijkt opgelost te zijn door in Wordpress zelf, Wordpress opnieuw te installeren. En dan handmatig de twee copy files, die Sucuri dan nog meldt, van de server te verwijderen.
Mijn ISPConfig is versie 3.1.11.
Kan iemand dit reproduceren en bevestigen?
Het zou makkelijker zijn als jij gewoon eventjes die bestanden upload.
Het kunnen verwijderen van willekeurige bestanden blijft ondanks dat wel een serieus probleem. Als wordpress zegt 6 maanden nodig te hebben om te patchen en de ontdekkers een kleine patch uitgeven zou ik wel twijfelen of die kleine patch een oplossing is en of ze bij wordpress echt zoveel tijd nodig hebben om een patch te ontwikkelen. Het verhelpen van het beveiligingslek lijkt voor beide partijen geen hoogste prioriteit te hebben.
Als ik in ISPConfig een "verse" Wordpress installeer (ja, ik heb de package-list geupdate...), en ik zet daarna enkel de niewste Sucuri erop, dan zegt Sucuri dat er twee originele Wordpress files helemaal niet origineel zijn. Maar door iets zijn vervangen. Waaronder de functions.php van Wordpress zelf. Op een verse nieuwe website met nieuw (sub)domein.
Het lijkt opgelost te zijn door in Wordpress zelf, Wordpress opnieuw te installeren. En dan handmatig de twee copy files, die Sucuri dan nog meldt, van de server te verwijderen.
Mijn ISPConfig is versie 3.1.11.
Kan iemand dit reproduceren en bevestigen?
Ik weet dat als Wordfence security aangeeft dat er een bestand aangepast/niet origineel is je kan klikken op de optie "bekijk de verschillen"
Weet niet of die optie ook in Sucuri zit anders kan je zelf zien wat er anders is
of je gebruikt een programma zoals "meld diff viewer" om de originele en de aangepaste functions.php te bekijken
Sucuri meldt dan dat de volgende files NIET originele Wordpress files zijn:
93.63K 28/06/2018 07:31 wp-admin/includes/upgrade.php.orig
182.20K 28/06/2018 07:31 wp-includes/functions.php.orig
93.65K 28/06/2018 07:31 wp-admin/includes/upgrade.php
182.21K 28/06/2018 07:31 wp-includes/functions.php
33.43K 28/06/2018 07:31 wp-includes/load.php
Vervolgens via de admin WordPress ge-herinstalleerd.
Dan blijft Sucuri enkel nog klagen over upgrade.php.orig en functions.php.orig. Na die met rm verwijderd te hebben, meldt Sucuri dat eindelijk alles in orde is. Mijn server-permissies staan allemaal netjes. Er kan niet zomaar vanuit een andere site of door een andere user wat veranderd worden. En ik ben de enige (root) user op de server. De server is dedicated, niet virtueel.
Ik zou het experiment natuurlijk nog eens kunnen overdoen, en met diff bekijken wat er veranderd is ten opzichte van de originele WordPress files...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.