image

WordPress-sites gekaapt via zero-day in Total Donations-plug-in

zondag 27 januari 2019, 07:38 door Redactie, 11 reacties

WordPress-sites van goede doelen, liefdadigheidsinstellingen en andere organisaties die gebruikmaken van de Total Donations-plug-in worden op dit moment actief aangevallen en overgenomen via een zogeheten zero-day. Een kwetsbaarheid waarvoor geen beveiligingsupdate beschikbaar is.

In dit geval zal er waarschijnlijk ook geen patch meer worden ontwikkeld. WordPress-sites die van de plug-in gebruikmaken krijgen dan ook het advies om Total Donations meteen te verwijderen, zo laat securitybedrijf Wordfence weten. Total Donations is een plug-in waarmee WordPress-sites campagnes en beoogde doelen kunnen opgeven. Het gaat om een betaalde plug-in die buiten de WordPress repository wordt aangeboden. Via een beveiligingslek in de plug-in kan een aanvaller beheerderstoegang krijgen en zo de website volledig overnemen.

Volgens Wordfence wordt deze kwetsbaarheid, die in versie 2.0.5 en ouder aanwezig is, actief gebruikt om websites over te nemen. Onderzoekers van het bedrijf vonden naast dit beveiligingslek ook tientallen andere kwetsbaarheden. Het lukte echter niet om de ontwikkelaars van Total Donations te benaderen. Het project lijkt verlaten te zijn, waardoor een update waarschijnlijk nooit meer zal verschijnen, zo laat één van de onderzoekers weten. Gebruikers wordt daarom geadviseerd de plug-in te verwijderen, in plaats van te deactiveren.

Reacties (11)
27-01-2019, 10:59 door Anoniem
Nadeel van dit soort software.... Blijkbaar is dit nog gewoon te downloaden, maar is er geen ondersteuning meer. Waarna de ellende begint. Zeker als het op publieke infrastructuur gebruikt wordt, zoals websites.

Is gewoon een kwestie van tijd voordat dit soort dingen fout gaan. En zie hier.... Internet is weer een stukje onveiliger geworden.
27-01-2019, 14:50 door Anoniem
En een einde aan deze op PHP-gebaseerde CMS ellende (in handen van niet-professionals) is voorlopig nog niet in zicht.
Is de onveiligheid inherent aan het gebruik van PHP,? Daar valt dan nog een discussie over te voeren. Af te voeren en kwetsbare code versies en gebruiken, blijft in ieder geval altijd fout. Dan heeft men" zes manieren vanaf maandag" om uw website steeds te kunnen compromitteren.

Scan: https://hackertarget.com/wordpress-security-scan/
Scan:op oudated thema's, plug-ins, af te voeren jQuery bibliotheken, gebruiker enumeratie en directory listing instellingen (disabled), links, etc. en andere zwakheden: https://webhint.io/scanner/ en https://observatory.mozilla.org/?

Anders groot kans dat uw domein hier ergens tussen te vinden valt of belandt: https://urlhaus.abuse.ch/
Voorbeeld met 10 soort bedreigingen mogelijk bij dit random voorbeeld:: https://webscan.upguard.com/#/https://lafamilledabord.fr/wp-content/

Maar ja, laten we vooral nergens naar kijken en op dezelfde voet doorgaan. Ik ben al veertien jaar een roepende in de Word Press, Magento, Joomla en jQuery woestijn. En de ellende met min.js, bootstrap.js en het niet gebruiken van best policies gaat gewoon door.

Het circus valt niet (meer) schoon te vegen, wat voor lange lijst van ellende we ook (gaan) zien. Wie willen dit liever in stand houden, dan er wat aan doen? Op zo'n vraag zou ik wel eens graag een speculatief antwoord krijgen, want de echte antwoorden op een dergelijke vraag zullen we denkelijk nooit krijgen (iets met de macht van de gevestigde "onze orde uit chaos a.k.a. insecurity by design"). Is het niet zo, dan is de verleiding om dat een seconde te denken toch op momenten soms wel heel groot. ;)

Waarom post ik dit nog? Paarlen voor de zwijnen, water naar de zee dragen. Krakatau, overvalt jou dat gevoel nou ook wel eens. Men houdt zich liever bezig met API wijzigingen om ad-blockers om zeep te helpen om je browser nog handiger van al je private data te ontdoen. Maar daar steunen we Big Tech in, want gratis onveiligheid is geen verkeerde onveiligheid, toch? Of was dit altijd al een misvatting, een valluik waar we allemaal ingetrapt zijn.

luntrus
27-01-2019, 17:20 door Anoniem
Gewoon geen pritstift kwaliteit plugins gebruiken.
27-01-2019, 17:37 door Anoniem
Het voordeel van dit soort software is dat liefdadigheidsinstellingen niet allemaal op internet pas liefdadig bezig kunnen zijn zonder naar allemaal dure IT bedrijven te moeten gaan om liefdadig bezig te zijn. Dat je eerst een paar ton moet neerleggen om daarna een tientje aan donatie op te halen. Terwijl zulke grote firma's net zo goed security steken laten vallen. Daar vallen net zo goed zero-day bommetjes, omdat er in de georganiseerde chaos ook toch nog wat over het hoofd was gezien. En meestal zijn de dan nog veel trager ook. Want dan moeten er vijf afdelingen van eten, dus dan moeten er eerst weer meetings gehouden worden. Met allemaal mensen die er verstand van hebben, want waarom hebben ze anders zo een hoog loon. Dan kun je wel wijzen naar een plugin waar geen updates meer voor komen. Maar de Windowsen en de Apples en de noem ze maar ook doen precies het zelfde. Koop maar voor nog duurder wat nieuws, of zoek het lekker uit. En leef maar met je geweten dat je met te weigeren naar Windows 15 of Iphone 13 te upgraden, het hele hele mooie internet in gevaar brengt.

Het nut van dit bericht: Niet actieve plugins deleten. En goeie backups maken. Want als het zero day is, dan stond de rommel dus nog niet in zero min 1 day. Of week.

Daarnaast is meer opsporing en vervolging nodig. Want mensen die voedselbanken, dierenasiels, en gaarkeukens actief voor de lol zitten te exploiten, hoe triest is dat niet. Ik vind dat behoorlijk crimineel.
27-01-2019, 20:24 door Krakatau
@luntrus Inderdaad! Goedkoop en snel, daar gaat men voor en in de resulterende technical debt is men niet geïnteresseerd of men laat het graag aan de toekomst.
27-01-2019, 21:36 door Anoniem
Ik ben druk, maar er vloog een creatieve gedachte door mijn hoofd. Om het domein klikhieromgehacktteworden.nl te kopen. En dan één button erop. En als je dan klikt, in H1, en dan met ccs nog grotere tekst, rood natuurlijk, gifrood, met een mooi Google fontje, enkel. Times New Roman of zo. Dat spreekt iedereen aan: "Dank u, het is gelukt. U ben gehackt. Vergaat de wereld nu? Kijk eens uit het raam?"

Misschien nog met een uitleg linkje er onder. En dat je er dan op een vervolg pagina op krijgt.....

Ach ik heb het druk.

Die tekst mag de volgende bedenken. Ook een beetje ruimte laten voor andere ontwikkelaars en concepten.
28-01-2019, 09:22 door Patio
Algemeen advies: gebruik nooit een 'betaalde plug-in'. Weggegooid geld. Dat charitatieve organisaties hun donaties gebruikten om dergelijke sjoemelsoftware aan te schaffen is een grof schandaal.
28-01-2019, 10:30 door Power2All - Bijgewerkt: 28-01-2019, 10:47
Wordpress mag van mij helemaal weg gevaagd worden, outdated pleuris product.
Zelf ben ik sinds alle ellende die ik ermee heb gehad in het verleden naar Symfony/Laravel en op dit moment OctoberCMS overgestapt.
Lekker goede support, ook voor 3rd party modules, die worden door OctoberCMS ook in de gaten gehouden, super handig dus.
Alle mensen die Wordpress gebruiken adviseer ik ook om weg te blijven ervan, en een alternatief op Symfony gebaseerd te nemen, zoiets als Bolt.cm of OctoberCMS dus.

Ontopic:
Dit is de zoveelste voorbeeld waarom Wordpress vermeden moeten worden als de pest.
Sure, als je Wordpress puur gebruikt met 3rd party plugins die bijna voor altijd up2date blijft, prima, maar voor de rest, vermijden als de pleuris dus.
28-01-2019, 19:37 door Krakatau
Door Power2All: Zelf ben ik sinds alle ellende die ik ermee heb gehad in het verleden naar Symfony/Laravel en op dit moment OctoberCMS overgestapt.

Nou, dan zou ik eerder Drupal hebben gekozen denk ik. Hoewel Drupal en OctoberCMS zeker niet slecht zijn, blijven ze beide op PHP-stacks gebouwd. Daarmee heb je jezelf al in de voet geschoten en zal het heel wat moeilijker worden om een goed en veilig product neer te zetten dan wanneer je een professionele programmeertaal zou gebruiken.
29-01-2019, 02:30 door Anoniem
Alles wat gebruik maakt van thirdparty addons brengt veiligheidrisico's met zich mee of je nu knutselt aan Wordpress, Drupal, Joomla, Magento of welk ander systeem dan ook. Het basis CMS is meestal gewoon prima te gebruiken voor productie doeleinden. Drupal heeft een pluspunt sinds ze een dedicated security team hebben maar je zult een standaard gebruiker echt niet met hun zien communiceren en zelden hun adviezen zien opvolgen.

Zelfde met programeer talen of je nu PHP, Perl, Ruby of wat dan ook gebruikt als je niet er zorgvuldig mee omgaat dan zal het ooit misgaan. De exploits zit hem voor de gene die niet verder hebben gelezen dan het artikel zelf in gebruik van AJAX en niet in PHP

Dus ja als iemand zo ontwetend is een plug-in die al 3 jaar niet ondersteund wordt waar reviews van 1 ster bij staan aan te schaffen niet te auditten dan helpt geen enkel CMS tegen dat probleem. (de gebruiker)
.
En laten we wel wezen vaak heb je helemaal als developer niet de keuze wat je voor CMS of programeer taal je gebruikt. Meestal bepaalt je bedrijf of de klant het en kan je nog zo hoog springen als je wilt als het niet rendabel is en marketable veel geluk om je zin door te drijven. En dan vaak vernageld de klant het later toch weer zelf door er aan te prutsen. Dus tenzij we een keer starten met serieuze boetes uitdelen naar dit soort prutsende bedrijven en developers gaat het niet meer goedkomen.


Maar wat is nu precies de impact van deze plug-in? Want dat wordt niet echt duidelijk uit dit marketing verhaal van Wordfence. Dus laten we even kijken 1,642 aankopen via de eerste Envato plugin release die uitgezet is rond november 2016 en dan nog eens 2,507 via de nieuwe mischien nog paar verkopen via hun eigen site laten we afronden op kleine 5k sites. Verder weinig nieuws te vinden over enige hack momenteel en naast alle nieuws sites die copy pasten sites ook geen info te vinden.

Het zou dit soort bedrijven sieren als ze nu ook eens een lijst aanleveren met hoeveelheid geconstateerde aanvallen of nog beter een blacklist van website welke actief moeten worden vermeden.
29-01-2019, 11:30 door Krakatau
Door Anoniem: Zelfde met programeer talen of je nu PHP, Perl, Ruby of wat dan ook gebruikt als je niet er zorgvuldig mee omgaat dan zal het ooit misgaan. De exploits zit hem voor de gene die niet verder hebben gelezen dan het artikel zelf in gebruik van AJAX en niet in PHP

Nee, er zijn gewoon simpelweg slechte programmeertalen:
https://www.calebcurry.com/worst-3-programming-languages-of-2018/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.