Ruim 72.000 WordPress-sites kwetsbaar door lek in plug-in
Ruim 72.000 WordPress-sites zijn kwetsbaar door een beveiligingslek in een plug-in die ze gebruiken en waardoor een aanvaller zonder inloggegevens de database kan verwijderen om vervolgens als beheerder in te loggen. Het gaat om "ThemeGrill Demo Importer", een plug-in waarmee themes, content en widgets van het bedrijf ThemeGrill zijn te gebruiken.
Onderzoekers van WebArx ontdekten een kwetsbaarheid waarmee een ongeauthenticeerde aanvaller de gehele database naar de standaard staat kan resetten, waarna de aanvaller automatisch als admin wordt ingelogd. Een voorwaarde is wel dat een theme van ThemeGrill is geactiveerd. Om automatisch als beheerder te worden ingelogd moet er daarnaast een gebruiker met de naam "admin" in de database aanwezig zijn.
De kwetsbaarheid werd op 6 februari aan de ontwikkelaars van de plug-in gerapporteerd. Die kwamen op 15 februari met een beveiligingsupdate, herkenbaar aan het versienummer 1.6.2. De meeste websites die van de plug-in gebruikmaken zijn echter nog steeds kwetsbaar. Volgens cijfers van WordPress is de plug-in op meer dan 100.000 WordPress-sites actief. Sinds 15 februari is de nieuwste versie ruim 28.000 keer gedownload, wat inhoudt dat zeker 72.000 WordPress-sites risico lopen.
Mogelijk dat het aantal kwetsbare websites nog veel hoger ligt. De onderzoekers van WebArx claimen namelijk dat de plug-in op meer dan 200.000 WordPress-sites actief is, terwijl ThemeGrill stelt dat de themes door meer dan 300.000 websites worden gebruikt.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Word-Press vaak niet volledig ge-update qua core versie, plug-ins, met kwetsbare en afvoerbare JQuery bibliotheken,
(bootstrap kwetsbaarheden), met verkeerde configuratie settings qua "user enumeration" en "directory listing" op "enabled".
Nog meer kwetsbaarheid als best policies niet zijn gevolgd (security header settings e.a.) op de server.
Niemand lint en fuzzt en doet aan error-hunting. (Nu ja in bovenstaand artikel bij WebArx wel.
Meestal ontbreekt er bij developers en amateurs de tijd en kunde.).
Gevolg van beslissingnemers, die eerder gaan voor het ontwerp van een "gelikte" website, dan een wat veiliger site.
De rekening zit dan wel vaak onder in de zak via abuse van onderhavige soort kwetsbaarheden bij vooral plug-ins.
Weer kosten, die voor de baat uitgaan. Maar die er toe doen, tellen niet mee en die meetellen, hebben er vaak geen verstand van. En zo moddert men door van het ene incident naar het volgende en velen zal het worst wezen.
luntrus (een veeal roepende in de script-woestijnen)
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.
Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.
Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.
Maar het is een plugin, die hoeft echt niet te wachten tot volgende maand. Sterker nog, kan gewoon nu.
Als je wacht is dat je eigen beslissing.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.
Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.
Maar het is een plugin, die hoeft echt niet te wachten tot volgende maand. Sterker nog, kan gewoon nu.
Als je wacht is dat je eigen beslissing.
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.
Het is belangrijk om voor dit soort patches en kwetsbaarheden ook de spoedprocedure uitgevoerd kan worden; het reguliere proces waarbij eerst alles gedocumenteerd en uitgezocht moet worden tot in detail kan wellicht te lang duren. De emergency change procedure is er niet voor niks.
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.
Het is belangrijk om voor dit soort patches en kwetsbaarheden ook de spoedprocedure uitgevoerd kan worden; het reguliere proces waarbij eerst alles gedocumenteerd en uitgezocht moet worden tot in detail kan wellicht te lang duren. De emergency change procedure is er niet voor niks.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security analist
De Universiteit Utrecht is op zoek naar een Security Analist. Je bent verantwoordelijk voor het uitvoeren van analyses met de tools van het security- operationsteam van de universiteit. Je werkt met Splunk Enterprise, voor securitymonitoring. En met InsightVM, voor netwerkscanning. Ook komt er nog een nieuwe tool, voor applicatiescanning. Je werkt bij de afdeling Identity & Security Services (ISS).
