image

130.000 WordPress-sites kwetsbaar door lek in plug-in

dinsdag 14 januari 2020, 19:57 door Redactie, 3 reacties
Laatst bijgewerkt: 15-01-2020, 09:14

Een ernstig lek in een populaire WordPressplug-in maakt het mogelijk voor aanvallers om meer dan 130.000 websites over te nemen. De kwetsbaarheid bevindt zich in de plug-in "InfiniteWP Client". Via deze plug-in kunnen gebruikers vanaf hun eigen server een onbeperkt aantal WordPress-sites beheren.

Volgens de ontwikkelaars van de plug-in is die door meer dan 513.000 websites geïnstalleerd, terwijl WordPress het op mee dan 300.000 actieve installaties houdt. Een kwetsbaarheid in de plug-in maakt het mogelijk voor een aanvaller om als beheerder op de website in te loggen. Alleen het versturen van een speciaal geprepareerd request is voldoende, aldus securitybedrijf Wordfence.

De ontwikkelaars van de InfiniteWP Client kwamen vorige week met een update voor het lek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 is beoordeeld. De update is sindsdien door ruim 168.000 WordPress-sites geïnstalleerd, wat inhoudt dat meer dan 132.000 sites nog risico lopen. Beheerders krijgen dan ook het dringende advies om de update met versienummer 1.9.4.5 te installeren. Details over het beveiligingslek zijn inmiddels openbaar gemaakt en Wordfence verwacht dat aanvallers op korte termijn misbruik van de kwetsbaarheid zullen maken.

Reacties (3)
14-01-2020, 22:15 door Anoniem
L.S.

Een eindeloze jeremiade kunnen we houden over dit op php gebaseerde CMS.
Niet goed onderhouden is het zeker kwestbaar by design.

Niet alleen als de nieuwste core versie niet is geinstalleerd.
Niet voldoende geupdate versies van Word Press zelf dus.
Set-up errors: User enumeration niet op disabled gezet. Directory listings niet op disabled gezet.
Gebruik van af te voeren en kwetsbare jQuery bibliotheken.

En zo als hierboven beschreven niet voldoende gepatchte
en geupdate plug-in versies tot zelfs "verlaten code" aan toe,
die nooit meer verder ontwikkeld zal worden.

Gelijkaardig verhaaltje geldt in mindere mate ook voor het Magenta platform - zie de magereport scans.

Joomla heeft ook af en toe last van dezelfde kuren.
Verouderd PHP gebaseerd CMS kan een wormendoos blijken.

Het euvel van door goedwillende amateurs opgezette Content Management Software,
maar ook door development teams, die liever voor gelikte websites dan veilige gaan.

En het gaat maar door en het gaat maar verder.

Komen we nog niet te spreken over tal van JavaScript errors, ontbrekende validatie tussen client en webserver,
zonder voldoende beveiligde verbinding (HTTPS only), tal van header security settings niet geset,
en andere beveiligingstekortkomingen.

Doe eens een webhint scan-lintje en laat "Jenny" eens wat zwakheden oprakelen.
Doe verder maar eens een shodannetje, een dazzlepodje, een hackertarget word press scannetje, sucuri webscan, etc.

Hou de website is tegen retire.js en node.js en Web Developer extensie of pluis de webbrowser console na
via Ctrl+Shift+I. Kijk met Tracker SSL of de site voldoende beveiligd is qua beveiliging tegen NSA snooping.
Kijk met ZenMate Web Firewall extensie eens wat er zoal geblokkeerd kan worden en wordt aan tracking.
Of gebruik anders uMatrix.

Met nog 130.000 gevaar lopende Word Press websites zijn we er zeker nog niet, neen nog lange na niet.
Zo staat het aanvalsraam nog wagenwijd open wat mij betreft.

De cybercrimineel staat al klaar om alle 'flaws' te misbruiken.

Hoe lang nog blijven, die ervoor waarschuwen, nog roependen in de infrastructuur-woestijn?
Ja, Krakatau, daar ben jij ook mee bedoeld.Jij, vriend, waarschuwt ook altijd hiertegen.

Zoals ondergetekende,

uw aller luntrus
15-01-2020, 09:56 door Anoniem
Door Anoniem: L.S.

Een eindeloze jeremiade kunnen we houden over dit op php gebaseerde CMS.
Niet goed onderhouden is het zeker kwestbaar by design.
...
uw aller luntrus

Op PHP-stacks gebaseerde serversoftware is IMHO intrinsiek onveilig! Natuurlijk, het is een populaire en goedkope oplossing maar PHP is en blijft een onveilig hobbyprogrammeertaaltje.
16-01-2020, 16:16 door Anoniem
Je auto moet je ook onderhouden anders valt die ook uit elkaar, met websites is dat niet veel anders ...ik doe al heeeel lang ICT en je moet gewoon de boel bijhouden, als je haar niet knipt wordt het ook een puinhoop toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.