Aanvallers kapen sites via verkeerde NFS-permissies hosters
Aanvallers hebben websites die bij verschillende hostingbedrijven waren ondergebracht kunnen compromitteren omdat de NFS-permissies van de shared hostingomgeving verkeerd stonden ingesteld en er onnodig informatie werd gelekt. Het ging onder andere om iPage, FatCow, PowWeb en NetFirms.
Door de kwetsbaarheden konden aanvallers de databases van de websites aanpassen, zonder dat ze directe toegang tot de websites hadden. Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld.
In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" of "group-traversable" en alle klantbestanden "world-readable" of "group-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden.
De aanvallers konden zo een beheerdersaccount genaamd 'badminton' toevoegen dat vervolgens werd gebruikt om op de website in te loggen. Zodra de aanvallers waren ingelogd werd er via de WordPress theme editor kwaadaardige code aan de website toegevoegd die verkeer van zoekmachines kaapte en bezoekers van de websites naar spamsites doorstuurde.
De kwetsbaarheden werden door securitybedrijf Wordfence ontdekt, dat de hostingbedrijven waarschuwde. Die namen vervolgens maatregelen om de problemen te verhelpen. Hoeveel websites op deze manier zijn gecompromitteerd is onbekend. Een zelfde probleem werd vorig jaar ook bij verschillende andere hostingbedrijven aangetroffen.
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
Niks mis met Wordpress.
Probleem zit hem echter in de 3rd party plugins die veelal onveilig of niet bijgehouden worden.
Zelf werk ik met Symfony/Laravel en dat is prima.
PHP zelf is niks mis mee, het zijn de mensen die dit niet bijhouden, helaas.
Sowieso, je opmerking "een zacht eitje om te kraken", dat is bijna elke software pakket.
Kwestie van je in verdiepen.
Also, je hebt het nu over PHP, terwijl dit niks met PHP te maken had.
NFS shares moeten gewoon goed staan, EN het firewallen ervan is ook belangrijk.
Zo te zien falen een behoorlijk wat partijen hiermee.
En nee, Wordfence werd genoemd omdat het een security bedrijf is...
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
Ik snap sowieso het melden van PHP niet? Zie Confluence bijvoorbeeld, wat onderlaatst nog een probleemp'je' met beveiliging had en in Java is gebouwd. PHP en Wordpress zijn populaire platfomen, waar je relatief makkelijk instapt. Ja, dan krijg je veel van kwaadwillende en vooral mensen die instappen zonder goed op de hoogte te zijn van de risico's die samengaan met webapplicaties. Zeur dan op het laatste in plaats van het stuk gereedschap wat ze gebruiken, ik kan in C++, Java, Python, etc net zo hard onveilige code bouwen. Maakt dat dan stuk voor stuk ook allemaal prutstalen, of ben ik de schuldige?
En hoewel ik absoluut geen WP fan ben, moet ik wel zeggen dat de codebase in de laatste jaren is opgeruimd en hacks via de plugins lopen. De laatste keer dat ik een vanilla WP site gehackt heb zien worden is al lang geleden.
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
Dit was geen WordPress of PHP probleem. Dit was een probleem in de configuratie van de onderliggende webserver. Als je daar iemand de mogelijkheid biedt om administrator te worden, helpt geen enkele CMS om je informatie te beveiligen.
Peter
Kijk, je kan best klagen als de winkel een slechte qualiteit voordeur gebruikt maar dat zal niet de hoogste prioriteit hebben als de leveranciersingang wagenwijd open blijkt te staan.
Daarnaast denk ik dat nfs sowieso niet benaderbaar hoort te zijn vanaf het publieke internet (geldt nog meer voor smb/cifs), dus ze hadden er beter aan gedaan de back-ends met de front-ends via een niet-gerouteerd netwerk te verbinden. Je weet wel, vlan of aparte switch, private adressen, geen gateway.
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
Een paar tegenvoorbeelden ontkrachten niet dat 'Personal Home Page' beter bij de (eenvoudige) thuispagina's had kunnen blijven. Een beetje professional wil er eigenlijk niets met deze 'script kiddie' taal te maken hebben.
Maar het heeft in dit geval inderdaad helemaal niets met PHP te maken.
Een paar tegenvoorbeelden ontkrachten niet dat 'Personal Home Page' beter bij de (eenvoudige) thuispagina's had kunnen blijven. Een beetje professional wil er eigenlijk niets met deze 'script kiddie' taal te maken hebben.
Maar het heeft in dit geval inderdaad helemaal niets met PHP te maken.
#sockpuppet
Een paar tegenvoorbeelden ontkrachten niet dat 'Personal Home Page' beter bij de (eenvoudige) thuispagina's had kunnen blijven. Een beetje professional wil er eigenlijk niets met deze 'script kiddie' taal te maken hebben.
Maar het heeft in dit geval inderdaad helemaal niets met PHP te maken.
Het probleem zit in dit geval inderdaad ergens anders en ik ben ook niet over PHP begonnen. Maar ik wil het graag afmaken. Ik ben namelijk wel zo professioneel dat ik de verschillen tussen programmeertalen besef. Een 'doorgegroeide' script kiddie zoals jij beseft dit natuurlijk niet. Vanuit dat perspectief zal je Tim Berners-Lee (je kan z'n naam niet eens correct spellen) er ook wel bij halen. Ik ga niet eens moeite doen om te proberen te begrijpen wat je daarmee wil zeggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.