WordPress WooCommerce-webwinkels aangevallen via lek in kortingsplug-in
Webwinkels die zijn gebaseerd op WordPress WooCommerce en gebruikmaken van de kortingsplug-in "Discount Rules" worden op het moment actief aangevallen. Ruim 22.000 webshops zijn kwetsbaar en lopen risico doordat een beschikbare beveiligingsupdate nog niet is geïnstalleerd. De aanvallers maken misbruik van kwetsbaarheden waardoor een aanvaller in het ergste geval de webwinkel kan overnemen.
Discount Rules laat webwinkels allerlei soorten kortingen voor de producten en bestellingen in hun webshop instellen, alsmede op klantniveau. Meer dan dertigduizend webwinkels maken gebruik van de plug-in. Onderzoekers ontdekten dat Discount Rules verschillende kwetsbaarheden bevat, zoals SQL-injection en unauthenticated stored cross-site scripting. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller gegevens van klanten opvragen, alle kortingscodes bemachtigen, voor alle klanten kortingscodes instellen of gegevens van de beheerder stelen om zo de website over te nemen.
Onderzoekers van securitybedrijf WebArx ontdekten de problemen en waarschuwden de ontwikkelaars van Discount Rules op 7 augustus. Die kwamen op 13 augustus met een beveiligingsupdate (versie 2.1.0). Een week later publiceerde WebArx de details over de kwetsbaarheid. De volgende dag meldde het securitybedrijf dat webwinkels die van de plug-in gebruikmaken actief worden aangevallen. Volgens cijfers van WordPress is versie 2.1.x door 26 procent van de webwinkels geïnstalleerd. Dat houdt in dat ruim 22.000 webwinkels nog kwetsbaar zijn en risico lopen.
echt... binnen een week een fix geschreven, en dan 22.000 webshops maar een week geven om te patchen, in de vakantie-periode? ze hadden ook een maand kunnen wachten, ik vermoed dat daar een paarse broek heeft zitten glimmen van trots, en gewoon niet kon wachten.
Alternatief was dat ze de exploit zelf behouden, de grotere bedrijven aanschrijven, wijzen op ongepatched, hun diensten aanbieden en als de klant lauw reageert, vragen of er toestemming is om het gevaar te demonstreren, en dan geld verdienen met diensten.
Maar ja, dat is meer een technische aanpak, die de naam van je bedrijf niet meteen in heel Google pompt, en waar je als marketing directeur geen bonus voor binnenhaalt.
...je bedrijf verdient er verder wel flink, en terecht aan, maar dat is voor het mannetje blijkbaar minder relevant.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.