Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Ruim 72.000 WordPress-sites kwetsbaar door lek in plug-in

dinsdag 18 februari 2020, 10:11 door Redactie, 14 reacties

Ruim 72.000 WordPress-sites zijn kwetsbaar door een beveiligingslek in een plug-in die ze gebruiken en waardoor een aanvaller zonder inloggegevens de database kan verwijderen om vervolgens als beheerder in te loggen. Het gaat om "ThemeGrill Demo Importer", een plug-in waarmee themes, content en widgets van het bedrijf ThemeGrill zijn te gebruiken.

Onderzoekers van WebArx ontdekten een kwetsbaarheid waarmee een ongeauthenticeerde aanvaller de gehele database naar de standaard staat kan resetten, waarna de aanvaller automatisch als admin wordt ingelogd. Een voorwaarde is wel dat een theme van ThemeGrill is geactiveerd. Om automatisch als beheerder te worden ingelogd moet er daarnaast een gebruiker met de naam "admin" in de database aanwezig zijn.

De kwetsbaarheid werd op 6 februari aan de ontwikkelaars van de plug-in gerapporteerd. Die kwamen op 15 februari met een beveiligingsupdate, herkenbaar aan het versienummer 1.6.2. De meeste websites die van de plug-in gebruikmaken zijn echter nog steeds kwetsbaar. Volgens cijfers van WordPress is de plug-in op meer dan 100.000 WordPress-sites actief. Sinds 15 februari is de nieuwste versie ruim 28.000 keer gedownload, wat inhoudt dat zeker 72.000 WordPress-sites risico lopen.

Mogelijk dat het aantal kwetsbare websites nog veel hoger ligt. De onderzoekers van WebArx claimen namelijk dat de plug-in op meer dan 200.000 WordPress-sites actief is, terwijl ThemeGrill stelt dat de themes door meer dan 300.000 websites worden gebruikt.

WHO waarschuwt voor phishingmails over het coronavirus
Colombia eist dat Facebook gebruikersdata beter beschermt
Reacties (14)
Reageer met quote
18-02-2020, 12:48 door Anoniem
Niet voor het eerst dat een thema Wordpress sites de das omdoet.
Reageer met quote
18-02-2020, 13:03 door souplost
Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Reageer met quote
18-02-2020, 16:10 door karma4
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Reageer met quote
18-02-2020, 17:04 door Anoniem
Door karma4:
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Gut, laat Wordpress en de plugin's nu opensource zijn, dus je gezeik over spaghetti software klopt niet, tenzij je opensource bedoeld, dan ben ik het volkomen met je eens.
Reageer met quote
18-02-2020, 17:18 door Anoniem
Bij ons werd vandaag een databank gewist door deze bug. Lijkt dus actief aangevallen te worden.
Reageer met quote
18-02-2020, 18:27 door Anoniem
Door Anoniem: Bij ons werd vandaag een databank gewist door deze bug. Lijkt dus actief aangevallen te worden.
DUS was er niet op tijd de update uitgevoerd!
Reageer met quote
18-02-2020, 22:09 door Anoniem
En wederom narigheid met dit op "wormendoos"-PHP (ja ook de geharde versie en die met een cheatsheet ernaast) gebaseerd CMS.

Word-Press vaak niet volledig ge-update qua core versie, plug-ins, met kwetsbare en afvoerbare JQuery bibliotheken,
(bootstrap kwetsbaarheden), met verkeerde configuratie settings qua "user enumeration" en "directory listing" op "enabled".

Nog meer kwetsbaarheid als best policies niet zijn gevolgd (security header settings e.a.) op de server.
Niemand lint en fuzzt en doet aan error-hunting. (Nu ja in bovenstaand artikel bij WebArx wel.
Meestal ontbreekt er bij developers en amateurs de tijd en kunde.).

Gevolg van beslissingnemers, die eerder gaan voor het ontwerp van een "gelikte" website, dan een wat veiliger site.

De rekening zit dan wel vaak onder in de zak via abuse van onderhavige soort kwetsbaarheden bij vooral plug-ins.
Weer kosten, die voor de baat uitgaan. Maar die er toe doen, tellen niet mee en die meetellen, hebben er vaak geen verstand van. En zo moddert men door van het ene incident naar het volgende en velen zal het worst wezen.

luntrus (een veeal roepende in de script-woestijnen)
Reageer met quote
18-02-2020, 22:49 door souplost - Bijgewerkt: 18-02-2020, 22:51
Door karma4:
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht. En nu? Ligt het aan de spaghetti code van het is?
Reageer met quote
18-02-2020, 23:09 door Anoniem
Door souplost:
Door karma4:
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht. En nu? Ligt het aan de spaghetti code van het is?
Wat heeft het gebruik van Windows nu te maken met dit probleem. Met de patchronde wordt alleen Windowsonderdelen ge-updated!
Reageer met quote
19-02-2020, 06:21 door The FOSS - Bijgewerkt: 19-02-2020, 06:21
Door souplost: ...
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.

Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.
Reageer met quote
19-02-2020, 09:04 door Bitje-scheef
Door The FOSS:
Door souplost: ...
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.

Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.

Maar het is een plugin, die hoeft echt niet te wachten tot volgende maand. Sterker nog, kan gewoon nu.
Als je wacht is dat je eigen beslissing.
Reageer met quote
19-02-2020, 09:22 door The FOSS - Bijgewerkt: 19-02-2020, 09:36
Door Bitje-scheef:
Door The FOSS:
Door souplost: ...
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.

Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.

Maar het is een plugin, die hoeft echt niet te wachten tot volgende maand. Sterker nog, kan gewoon nu.
Als je wacht is dat je eigen beslissing.

Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.
Reageer met quote
19-02-2020, 16:52 door Anoniem
Door The FOSS:
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.

Het is belangrijk om voor dit soort patches en kwetsbaarheden ook de spoedprocedure uitgevoerd kan worden; het reguliere proces waarbij eerst alles gedocumenteerd en uitgezocht moet worden tot in detail kan wellicht te lang duren. De emergency change procedure is er niet voor niks.
Reageer met quote
19-02-2020, 20:33 door souplost
Door Anoniem:
Door The FOSS:
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.

Het is belangrijk om voor dit soort patches en kwetsbaarheden ook de spoedprocedure uitgevoerd kan worden; het reguliere proces waarbij eerst alles gedocumenteerd en uitgezocht moet worden tot in detail kan wellicht te lang duren. De emergency change procedure is er niet voor niks.
Waarom wordt die niet gebruikt dan? Liep er soms al een andere emergency change? Of wordt er niet op security gestuurd maar op geld? Feit is dat men realiseert dat het gebruik van Windows fors duurder wordt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

32 reacties
Aantal stemmen: 1021
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter