WordPress-sites kwetsbaar door lek in CodeArt-plug-in
Honderden WordPress-sites zijn kwetsbaar door een lek in een plug-in genaamd CodeArt - Google MP3 Player, waardoor aanvallers informatie kunnen achterhalen om sites volledig mee over te nemen. CodeArt is een plug-in om muziek aan een blog toe te voegen en wordt al jaren niet meer ondersteund.
Via het beveiligingslek is het mogelijk om het bestand wp-config.php uit te lezen, dat gevoelige informatie bevat zoals WordPress-databasenaam, gebruikersnaam, wachtwoord en hostnaam. Ook bevat het de WordPress "secret keys" waarmee het mogelijk is om authenticatiecookies te vervalsen. Alleen al toegang tot de WordPress-database is voldoende om de website over te nemen. Wanneer het wachtwoord van de database hetzelfde is als dat van de beheerder, kan de site ook via de front-end worden gecompromitteerd, zegt onderzoeker Troy Mursch van Bad Packets Report.
Al 4 jaar geleden stelden gebruikers dat de plug-in een kwetsbaarheid bevat die aanvallers gebruikten om configuratiebestanden uit te lezen. Daarop stelde de ontwikkelaar mogelijk het beveiligingslek te zullen dichten. Volgens de WordPress repository verscheen de laatste update voor CodeArt echter zes jaar geleden. De plug-in is inmiddels ook niet meer via de WordPress-site te downloaden.
Mursch ontdekte dat nog bijna duizend WordPress-sites de plug-in gebruiken. Zo'n 400 zijn daarvan kwetsbaar voor aanvallen. De onderzoeker merkt op dat aanvallers actief naar kwetsbare websites zoeken. Webmasters en beheerders krijgen dan ook het advies de plug-in direct te verwijderen.
https://www.nmmapper.com/st/exploitdetails/35460/35247/wordpress-plugin-codeart-google-mp3-player-file-disclosure-download/
En opnieuw PHP in de hoofdrol bij deze exploiteerbare kwetsbaarheid.
die al bij ruim 400 Word Press sites met deze niet langer onderhouden plugin kan zijn opgetreden.
"Dorkje, Shodannetje, pats, compromised..."
Security blijkt altijd weer de sluitpost te zijn bij website beveiliging
en sluitspost bij alle vormen van security van de internet infrastructuur.
Het mag vooral weer niets of niet te veel kosten.
Er verandert zodanig niets & er verbetert maar mondjesmaat iets.
Dit gaat nog eens een keer leiden tot een giga-globale-databreach-hack,
voorspelt een IT kennis van mij, en hij kan best eerdaags eens gelijk gaan krijgen.
Goed dat de Russische Federatie al oefent om de eigen cyberruimte onafhankelijk van de rest te laten draaien.
Los van het globale Interwebz gebeuren middels eigen DNS voorzieningen
en direct neerhalen van ongewenste content.
De bekende beschermheer van Dr. Web uit St. Petersburg heeft die noodzakelijkheid goed ingeschat.
De URLologist geeft hem in deze gelijk.
Niet iedereen bij ons zal direct staan te juichen om wat Vladimir Vladimirovitsj doet,
maar daar gebeurt tenminste nog wat tegen kwetsbaarheden op de infrastructuur
binnen de Russische cyberruimte.
Ondanks de monocultures en het gebrek aan best policies
en het gebrek aan de nodige patches en updates,
die Russen wel tot nog meer ingrijpende voortvarendheid manen.
Er blijft immers nog genoeg te doen over.
Waarvan akte,
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.