Miljoen WordPress-sites kwetsbaar door actief aangevallen lek in Elementor Pro
Naar schatting een miljoen WordPress-sites zijn kwetsbaar door een actief aangevallen kwetsbaarheid in de plug-in Elementor Pro en een beveiligingsupdate is niet beschikbaar. Via de kwetsbaarheid kunnen aanvallers op afstand volledige controle over kwetsbare websites krijgen.
Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Naast de gratis Elementor-plug-in is er ook de betaalde plug-in Elementor Pro. Een zerodaylek in Elementor Pro maakt het mogelijk voor een aanvaller om willekeurige bestanden te uploaden en zo code uit te voeren. Zo kan een aanvaller een nieuwe beheerder aanmaken of een backdoor installeren.
De kwetsbaarheid in Elementor Pro is alleen te misbruiken wanneer gebruikers zich bij de website kunnen registreren. Een beveiligingslek in een andere plug-in maakt het echter mogelijk om deze beperking te omzeilen en WordPress-sites aan te vallen ook wanneer ze geen gebruikersregistratie bieden. De plug-in in kwestie heet "Ultimate Addons" en is een uitbreiding voor Elementor.
Securitybedrijf Wordfence heeft aanvallen ontdekt waarbij beide kwetsbaarheden worden gebruikt om WordPress-sites met Elementor Pro over te nemen. Elementor Pro wordt naar schatting door meer dan één miljoen websites gebruikt. Ultimate Addons draait op zo'n 110.000 websites. Zolang de kwetsbaarheden niet zijn gepatcht geeft Wordfence geen verdere details. Het Elementor-team werkt aan een beveiligingsupdate. In de tussentijd krijgen gebruikers van Elementor Pro het advies om te downgraden naar de gratis versie van Elementor.
Update
Elementor Pro laat in een reactie aan Security.NL weten dat er een update (2.9.4) beschikbaar is die de kwetsbaarheid verhelpt.
Alles wat door MENSEN word gemaakt, is door MENSEN na te maken of te hacken. Dus stop eens met dat eeuwige gezeik, geklaag en commentaar.
Source:https://www.wordfence.com/blog/2020/05/combined-attack-on-elementor-pro-and-ultimate-addons-for-elementor-puts-1-million-sites-at-risk/
Alles wat door MENSEN word gemaakt, is door MENSEN na te maken of te hacken. Dus stop eens met dat eeuwige gezeik, geklaag en commentaar.
Ik weet het, dat past niet meer in deze tijd. Want het moet allemaal gisteren af en mag niks kosten. Dat wil nog niet zeggen dat het niet KAN.
Het kan wel, maar dan is dat wel heel moeilijk. Uit mijn ervaring bij JavaScript en PHP namelijk blijkt het heel moeilijk voor een codeur met alles rekening te kunnen houden. Waarom denk je dan dat sommige bedrijven autisten met bepaalde geavanceerd overzicht in dienst nemen? Omdat de gemiddelde codeur het niet ziet of het verband nog niet heeft doorzien.
Waarom volgen jQuery bibliotheken elkaar op. Om die bewering bewezen te zien, installeer eens de vulners extensie in je browser en schrik je rot van de niet voldoende ge-update en verlaten code (niet alleen op de client, maar ja ook op webservers natuurlijk en in de cloud bijvoorbeeld).
Wil je toch een oplossing, die zoiets het best benadert, kijk eens naar NoScript en uMatrix. Dat werkt zelfs tegen kwetsbaarheden en exploits die nog niet eens verzonnen zijn en in de toekomst liggen. Het werkt namelijk altijd.
Door niet laten draaien van ongeautoriseerd script blijft het laden van de pagina veilig(er). Maar niets is absoluut hoor.
Jij ziet het kopje half vol, anderen zien 'm half leeg. Voor mij blijft ie 3/4. Doei,
luntrus
Het kan wel, maar dan is dat wel heel moeilijk. Uit mijn ervaring bij JavaScript en PHP namelijk blijkt het heel moeilijk voor een codeur met alles rekening te kunnen houden. Waarom denk je dan dat sommige bedrijven autisten met bepaalde geavanceerd overzicht in dienst nemen? Omdat de gemiddelde codeur het niet ziet of het verband nog niet heeft doorzien.
En dat is omdat de klant niet meer weer betalen.
Pay peanuts, get monkeys.
Ben ik ook wel helemaal met je eens. Het probleem daarbij is dat veel security is weg-ge-CEO-ed en weg-gemanagerd.
De mensen die het weten, doen er niet toe en die er niet toe zouden moeten doen, nemen de beslissingen.
Geloof in het verhaal van dozenschuivers en kant-en-klaar-oplossingen is groot.
Het getrainde aapjesverhaal is helaas ook waar.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.