image

650.000 WordPress-sites kwetsbaar door lek in WP Fastest Cache

vrijdag 15 oktober 2021, 17:10 door Redactie, 8 reacties

Zo'n 650.000 WordPress-sites lopen door een kwetsbaarheid in de plug-in WP Fastest Cache risico om door kwaadwillenden te worden overgenomen. WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd.

Onderzoekers van Jetpack ontdekten twee kwetsbaarheden in de plug-in. De eerste kwetsbaarheid betreft geauthenticeerde SQL-injection en zorgt ervoor dat een aanvaller toegang tot de database kan krijgen, om zo bijvoorbeeld gebruikersnamen en gehashte wachtwoorden te stelen. De aanval is alleen mogelijk wanneer de classic-editor plug-in ook op de website actief is.

De tweede kwetsbaarheid, aangeduid als CVE-2021-24869, betreft stored cross-site scripting (XSS) en cross-site request forgery (CSRF). Via dit beveiligingslek kan een aanvaller dezelfde acties als een ingelogde beheerder uitvoeren en zo volledige controle over de website krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,6 beoordeeld.

Jetpack waarschuwde de ontwikkelaar van WP Fastest Cache op 29 september. Vervolgens verscheen op 11 oktober versie 0.9.5 waarin de kwetsbaarheden zijn verholpen. Sinds het uitkomen van de nieuwe versie is WP Fastest Cache zo'n 354.000 keer gedownload, wat inhoudt dat nog zo'n 650.000 WordPress-sites niet zijn bijgewerkt met de nieuwste versie van de plug-in.

Reacties (8)
15-10-2021, 18:00 door Anoniem
Het is al zo lang bekend dat je met Wordpress en plugins veel risico loopt. Wordpress wordt door veel consumenten en het mkb gebruikt omdat het makkelijk te beheren is en voorzien is van mooie templates. Professionele sites worden er niet mee gebouwd (php is daar niet echt populair meer, python, ruby en golang des te meer.).
Detail is dat als wordpress onder windows draait (wamp) de server zal worden versleuteld indien gehackt. Draait het onder Linux (lamp) of BSD dan zal dat niet gebeuren omdat apache geen systeemrechten heeft.
15-10-2021, 19:15 door walmare - Bijgewerkt: 15-10-2021, 19:17
[edit] Iemand was mij voor..
17-10-2021, 09:52 door Anoniem
Door Anoniem: ...Professionele sites worden er niet mee gebouwd (php is daar niet echt populair meer, python, ruby en golang des te meer.).
Professioneel, als in je verdient er geld mee? Een groot deel van de webwinkels en andere informatieve, professionele sites draaien Wordpress. 40% van alle sites draait Wordpress, en dat zijn niet allemaal 'consumenten' blogjes. Wordpress is, met de juiste plugins, voor veel doelen inzetbaar. Maar het blijft wel een kunst om het aantal plugins laag te houden. Liefst maak je zelf een tweak, ipv de zoveelste plugin te installeren. Voor een beetje programmeer een koud kunstje, maar niet iedereen kan dat natuurlijk.
Dat gezegd hebben, is dit wel een van de populairdere plugins, met dus een grove miljoen installs. Je hoeft je dus niet te schamen als je deze gebruikt, en als je de auto-updates aan hebt staan of regelmatig zelf de updates draait, is er nies aan de hand. Alleen auto-updates is nogal een risico, zeker als het om je inkomen gaat, dus veel mensen zetten deze uit en updaten maar eens in de maand bijvoorbeeld. Dat is waar het mis gaat in dit geval.
17-10-2021, 11:48 door Anoniem
Het gaat hierbij vaak om basale configuratie fouten.
User enumeration aan laten staan en niet op "disabled" gezet en directory listing idem dito.

Meest voorkomende issues, niet voldoende updaten van kern CMS en plug-ins en thema's.
Nog erger code laten staan, die inmiddels verlaten is door de developer.

Of iets dat gemanipuleerd kan worden door cybercriminelen, zoals mailchimp bijvoorbeeld,

En dan ook de security issues van allerlei websites naar de achterliggende server toe.
Header-security, CSP, etc. etc.

Ik geef hier maar een paar voorbeeldjes uit een heel scala, die een error-hunter zou vinden.

Maar voor veel beslissingnemers is het geen item en sluitpost op de begroting.
Tot de spreekwoordelijke mest de ventilator raakt, dan is Leiden in last.
Men heeft vaak liever een gelikt uitziende website dan een veilige.

luntrus
17-10-2021, 12:31 door Anoniem
1. Enkel de strict noodzakelijke plugins installeren
2. Automatische backups
3. Automatische updates
18-10-2021, 17:31 door eMilt
Door Anoniem: Detail is dat als wordpress onder windows draait (wamp) de server zal worden versleuteld indien gehackt. Draait het onder Linux (lamp) of BSD dan zal dat niet gebeuren omdat apache geen systeemrechten heeft.
Geen idee hoe Apache dat afhandelt op Windows maar als dat niet de mogelijkheid biedt om een website onder beperkte rechten te draaien dan is dat de schuld van Apache en niet van Windows. Met IIS onder Windows kan dit in ieder geval wel.
18-10-2021, 21:19 door [Account Verwijderd]
Door eMilt:
Door Anoniem: Detail is dat als wordpress onder windows draait (wamp) de server zal worden versleuteld indien gehackt. Draait het onder Linux (lamp) of BSD dan zal dat niet gebeuren omdat apache geen systeemrechten heeft.
Geen idee hoe Apache dat afhandelt op Windows maar als dat niet de mogelijkheid biedt om een website onder beperkte rechten te draaien dan is dat de schuld van Apache en niet van Windows. Met IIS onder Windows kan dit in ieder geval wel.

Omdat Microsoft een closed source API heeft die door het Microsoft product IIS gebruikt kan worden maar die niet wordt vrijgegeven voor gebruik in Apache? Tja, zo kan ik het ook. Dergelijke verwerpelijke praktijken om de concurrent eronder te houden zouden verboden moeten worden!
20-10-2021, 15:44 door Anoniem
Door Anoniem: Het is al zo lang bekend dat je met Wordpress en plugins veel risico loopt. Wordpress wordt door veel consumenten en het mkb gebruikt omdat het makkelijk te beheren is en voorzien is van mooie templates. Professionele sites worden er niet mee gebouwd (php is daar niet echt populair meer, python, ruby en golang des te meer.).
Detail is dat als wordpress onder windows draait (wamp) de server zal worden versleuteld indien gehackt. Draait het onder Linux (lamp) of BSD dan zal dat niet gebeuren omdat apache geen systeemrechten heeft.

Afgezien menige profiionele site wel bijvoorbeeld met php gemaakt is?
Tweakers.net is daar een mooi voorbeeld van.
Fok.nl idem.
Wikipedia vergeet je ook liever?

Daarnaast in Windows kun je IIS resources ook onder bepaalde rechten draaien. Sterker nog, dit is al sinds 2003 een gelimiteerd account. Je loopt pas een paar jaar achter.

https://blogs.iis.net/davcox/what-is-my-iis-code-running-as
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.