WordPress-sites aangevallen via lek in Nicdarkplug-ins en Bulk Uploader
WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in plug-ins van ontwikkelaar Nicdark en een uitbreiding voor de Simple 301 Redirects-plug-in. Dat laat securitybedrijf Wordfence weten. Nicdark biedt vijf verschillende plug-ins voor WordPress waarmee websites onder andere donaties en reserveringen kunnen beheren. De plug-ins zijn volgens de ontwikkelaar meer dan 15.000 keer gedownload.
Uit cijfers van WordPress blijkt dat meer dan 6700 actieve websites van de plug-ins gebruikmaken. Hoewel het om vijf verschillende plug-ins gaat bevatten ze allemaal hetzelfde beveiligingslek waardoor een aanvaller zonder inloggegevens willekeurige WordPress-opties kan aanpassen. Zo is het bijvoorbeeld mogelijk voor een aanvaller om zichzelf als beheerder van de website te registreren.
Bij de waargenomen aanvallen wijzigen aanvallers alleen de site-url van de website, waardoor bezoekers automatisch naar malafide sites worden doorgestuurd of malafide content te zien krijgen. De kwetsbaarheden in de plug-ins zijn onlangs gepatcht, maar niet alle websites hebben de update geïnstalleerd. Hetzelfde geldt voor een uitbreiding van de Simple Redirects-plug-in.
Via Simple Redirects kunnen gebruikers requests eenvoudig naar een andere pagina op hun eigen site of het internet doorsturen. De "Simple 301 Redirects – Addon – Bulk Uploader" biedt de mogelijkheid om een csv-bestand met oude en nieuwe url's te uploaden die vervolgens als invoer door Simple Redirects worden gebruikt. Via de kwetsbaarheid kan een aanvaller zijn eigen redirect opgeven en bezoekers zo naar malafide sites doorsturen. Twee weken geleden verscheen er een update voor Bulk Uploader, die meer dan 10.000 actieve installaties heeft.
Dan nog geen validatie of header security ingesteld.
301 redirects net als bij Spammybear malcreanten.
Gewoon omdat hosters niet oplettend zijn im de gratis fase.
De klant_amateurs ook niet overigens.
Dan wil de wereld bedrogen worden en dat gebeurt dan ook op
grote schaal. Bitcoin inkomsten gegarandeerd.
luntrus
Dat weten wij wel, goede vriend, maar ik zie hier niets, maar dan ook niets (in) veranderen.
Zij, die het weten, doen er niet toe en degenen, die er toe doen,
hebben er geen weet van of willen dat niet eens weten.
Ze geloven in de snelle PHP developer, die het wel eens eventjes voor hen inklopt
en niet alleen bij de persoonlijk homepage (die kunnen ook de rest infecteren overigens),
maar zelfs op grotere sites, waarvan je zou aannemen, dat het beter geregeld was
qua security (CSP validatie etc.).
Voorbeeldje: 461 issues bij linten: https://webhint.io/scanner/580897a2-f16a-4450-b334-671edb5591e7
en hierbij gaat het over een security platform site.
Oh, wat wrang een grote site op WordPress en niet volledig op orde
qua webserver software bij de hoster. Even "och & weh"roepen, dus.
retirable jQuery library: Retire.js
jquery 1.12.4 Gedecteerd op -https://www.helpnetsecurity.com/wp-includes/js/jquery/jquery.js?ver=1.12.4-wp
Vulnerability info:
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2015-9251 11974 parseHTML() executes scripts in event handlers
Medium CVE-2019-11358 jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution
Veel studenten die deze generator niet eens kennen (geldt ook voor docenten HS): https://s3.amazonaws.com/webappvui/skillcode/v2/index.html
groetjes,
luntrus
Net als ieder ander stuk software/OS is het zo veilig als je zelf instelt. Lukraak (onveilige) plugins installeren is dom, net als rotzooi installeren op je Windows pc. Menig custom CMS van een (lokale) websiteboer is nog veel erger alleen daar hoor je niets van.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.