image

WordPress-sites aangevallen via lek in Social Warfare-plug-in

vrijdag 22 maart 2019, 10:30 door Redactie, 12 reacties

WordPress-sites zijn gisteren aangevallen via een zerodaylek in Social Warfare, een plug-in voor het delen van content op social media. Inmiddels is er een beveiligingsupdate beschikbaar en webmasters en beheerders krijgen het dringende advies om die meteen te installeren.

Gisteren maakte een beveiligingsonderzoeker een ongepatchte kwetsbaarheid in Social Warfare bekend. Via het lek kan een aanvaller kwaadaardige JavaScript-code in de "social share" links op de WordPress-site injecteren. Aangezien er op dat moment geen beveiligingsupdate aanwezig was besloot WordPress om de plug-in uit de WordPress.org plug-in repository te verwijderen. Kort na het uitkomen van de informatie over het beveiligingslek werden de eerste websites al aangevallen, zo meldt securitybedrijf Wordfence.

Inmiddels is er een patch beschikbaar en webmasters en beheerders krijgen het advies om zo snel als mogelijk te updaten naar Social Warfare 3.5.3. Wanneer dit niet mogelijk is raden de ontwikkelaars aan om de plug-in uit te schakelen totdat de update kan worden doorgevoerd. De plug-in, die meer dan 70.000 actieve installaties heeft, is door WordPress weer in de repository teruggeplaatst. Gisteren werd bekend dat WordPress-sites ook werden aangevallen via een kwetsbaarheid in de Easy WP SMTP-plug-in.

Image

Reacties (12)
22-03-2019, 13:15 door Anoniem
Zie je ineens op je server dit soort requests? [ //wp-admin/admin-ajax.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/<weggehaald> ] dan weet je dat je onder vuur ligt.
22-03-2019, 13:34 door Anoniem
Elke dag wel weer iets met die plug-ins van dit PHP-gebaseerde CMS.
Wanneer komt er eens toezicht op de "knutselaars", die dit veroorzaken.

Niet updaten en patchen. Onvergeeflijk!

Wie z'n k*ntje brandt, moet op de blaren zitten,
maar als de eindgebruiker alleen maar op de blaren komt te zitten,
kan mitigeren van onveiligheid lang uitblijven,
of even een praatje voor de vaak als men bij dit alles betrapt wordt (denk aan Facebook's Marek Z.).
en dan weer verder met de "business as usual"

Want wie zal ze pijn doen? .

Een website in de lucht tillen met user enumeration not disabled & directory listing not disabled,
zou een misdaad moeten zijn, net als de "plain-txt passwords" bij Facebook en wel 12 jaar lang.
Toch doet men er weer niets mee, eh laat staan tegen, want het leidt af van wat men wil,
ons allen 24 op 24 in de gaten houden.

J.O.
22-03-2019, 16:07 door Krakatau - Bijgewerkt: 22-03-2019, 16:15
Door Anoniem: Elke dag wel weer iets met die plug-ins van dit PHP-gebaseerde CMS.
Wanneer komt er eens toezicht op de "knutselaars", die dit veroorzaken.

Niet updaten en patchen. Onvergeeflijk! <knip>

J.O.

Dat zeker (niet updaten en patchen) maar het is natuurlijk ook omdat de onderliggende infrastructuur (Wordpress + PHP-stack) het de plugins mogelijk maakt om 'uit te breken' en allerlei ellende aan te richten. Dat krijg je als een programmeertaal voor kleinschalig hobbygebruik (PHP) en een hobby blog platform (Wordpress) wordt ingezet voor meer serieuze toepassingen. Maar ja, het is natuurlijk wel laagdrempelig en betaalbare 'programmeurs' vinden is ook al niet zo moeilijk. Wat wil je nog meer?
22-03-2019, 16:55 door Anoniem
Door Krakatau:
Door Anoniem: Elke dag wel weer iets met die plug-ins van dit PHP-gebaseerde CMS.
Wanneer komt er eens toezicht op de "knutselaars", die dit veroorzaken.

Niet updaten en patchen. Onvergeeflijk! <knip>

J.O.

Dat zeker (niet updaten en patchen) maar het is natuurlijk ook omdat de onderliggende infrastructuur (Wordpress + PHP-stack) het de plugins mogelijk maakt om 'uit te breken' en allerlei ellende aan te richten. Dat krijg je als een programmeertaal voor kleinschalig hobbygebruik (PHP) en een hobby blog platform (Wordpress) wordt ingezet voor meer serieuze toepassingen. Maar ja, het is natuurlijk wel laagdrempelig en betaalbare 'programmeurs' vinden is ook al niet zo moeilijk. Wat wil je nog meer?

Facebook is toch ook in PHP geschreven? Wat maakt het dan uit?
22-03-2019, 17:37 door karma4
Door Krakatau:
Dat zeker (niet updaten en patchen) maar het is natuurlijk ook omdat de onderliggende infrastructuur (Wordpress + PHP-stack) het de plugins mogelijk maakt om 'uit te breken' en allerlei ellende aan te richten. Dat krijg je als een programmeertaal voor kleinschalig hobbygebruik (PHP) en een hobby blog platform (Wordpress) wordt ingezet voor meer serieuze toepassingen. Maar ja, het is natuurlijk wel laagdrempelig en betaalbare 'programmeurs' vinden is ook al niet zo moeilijk. Wat wil je nog meer?
PHP wordt intensief gebruikt bij het CERN. Sommige redenaties volgende, dan moet he wel goed en betrouwbaar zijn.
http://linuxsoft.cern.ch/cern/slc55/updates/x86_64/RPMS/repoview/php-mysql.html
22-03-2019, 18:30 door Anoniem
Er is wel een heel verschil tussen php script "knippen en plakken" a la "hoempapoem" zonder error- and cheat-sheets ernaast en het betere compileerwerk, dat later klinkt als een klassieke symfonie.

De developer die kan coderen en weet heeft van security gerelateerde zaken,
die tijd heeft om zijn of haar werk te doen en niet het "ik weet wel iemand, die dat even voor je doet" acties.

Dat is ook wat Krakatau bedoeld heeft te zeggen kennelijk.
De PHP Word-Press kiddies zitten ook niet dagelijks op Stack Overflow
en fuzzen hun code ook niet van Atot Z.

Ik zou hier eens beginnen: https://hackertarget.com/wordpress-security-scan/ en hier: https://webhint.io/scanner voor een zogenaamde "quick and dirty".

Ook een hoster, die het niet zo nauw neemt met de security en
vooral die zonder dedicated hosting met 1000 websites op 1 IP adres,
kan 't nog wel eens funest zijn in de uitwerking van alles.

Er zijn nog genoeg website admins met de naam "Beun de Haas" op de achterkant
en dan ben je als webadres eigenaar wel "het haasje" zogezegd,
tevens met de website-kat in de zak.

Goede week gewenst,

#sockpuppet
23-03-2019, 05:49 door Krakatau
Door Anoniem: Facebook is toch ook in PHP geschreven? Wat maakt het dan uit?

Dat blijkt: https://www.security.nl/posting/602628/Duitse+minister+adviseert+Facebookgebruikers+nieuw+wachtwoord

(hoeveel interesse Facebook heeft in robuuste en veilige oplossingen)
23-03-2019, 13:16 door WPbeveiligen - Bijgewerkt: 23-03-2019, 13:18
Met WordPress is niets mis, de plugins die door willekeurige "programmeurs" gemaakt zijn wel. Daarom is het belangrijk om het aantal plugins minimaal te houden. 10-15 max. Niet 20, niet 30!

Of je website goed te onderhouden. Maandelijks of zelfs wekelijkse updates horen hierbij.
En bij een lek.. direct updaten.

Dagelijks backuppen middels updraft of een andere dienst zorgt ervoor dat je de site op elk moment terug kunt draaien.

Ook wanneer een update de site om zeep helpt. Want ook dat gebeurd als de programmeur even een ] haakje vergeten is. Error 500

Mensen vergeten soms dat een businesswebsite goed opgezet moet worden, niet door een kennis van een kennis die iets met websites doet ;)
23-03-2019, 13:22 door WPbeveiligen - Bijgewerkt: 23-03-2019, 13:23
Door Anoniem: Zie je ineens op je server dit soort requests? [ //wp-admin/admin-ajax.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/<weggehaald> ] dan weet je dat je onder vuur ligt.
Onder vuur liggen sites zoal, door bots. De requests worden gemaakt maar ze moeten onderschept worden door een goed ingestelde beveiligingsplugin zoals iThemes security die hackbots logt en ze blokkeert.
23-03-2019, 18:49 door Krakatau
Door WPbeveiligen: Met WordPress is niets mis, de plugins die door willekeurige "programmeurs" gemaakt zijn wel.

De codebase van Wordpress is een van de slechtste die er te vinden is. En dan is het nog in PHP ook.

I can say this is 100% true - Wordpress codebase is the worst I've seen in my entire development career.

Bron: https://www.quora.com/Code-Quality-Do-impartial-reviews-of-the-WordPress-codebase-exist
24-03-2019, 12:32 door The FOSS - Bijgewerkt: 24-03-2019, 12:34
Door WPbeveiligen: Ook wanneer een update de site om zeep helpt. Want ook dat gebeurd als de programmeur even een ] haakje vergeten is. Error 500

Kijk! Daar heb je de kern van het probleem met PHP te pakken! Een ontbrekend vierkant sluithaakje moet natuurlijk niet pas run-time aan het licht komen. Bij een programmeertaal als Java wordt je compile-time al op je vingers getikt. Als je in PHP programmeert zou je op z'n minst een goede static code analyzer moeten gebruiken, om te proberen te vermijden dat je pas run-time achter fouten komt.

https://github.com/mre/awesome-static-analysis#php
25-03-2019, 11:07 door Krakatau
Leuk die static analyzers maar een beetje mosterd na de maaltijd vind ik. Doekje voor het aan alle kanten bloedende PHP.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.