Kritiek beveiligingslek in WordPress gedicht
Voor eigenaren van een WordPress-sites is er deze week een belangrijke beveiligingsupdate uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller de website volledig kan overnemen. Volgens de ontwikkelaars van WordPress gaat het om een kritieke cross-site scriptingkwetsbaarheid waarmee anonieme gebruikers de website kunnen compromitteren.
Het lek, dat door de Belgische beveiligingsonderzoeker Cedric van Bockhaven werd ontdekt, is aanwezig in WordPress 4.1.1 en ouder. Naast deze kwetsbaarheid zijn ook drie andere lekken verholpen. De impact van deze lekken zijn echter minder ernstig van aard. De ontwikkelaars van WordPress melden in de aankondiging van de update dat er deze week ook voor verschillende plug-ins beveiligingsupdates zijn uitgebracht. "Hou alles up-to-date om veilig te blijven", zegt Gary Pendergast van WordPress.
Ongepatchte plug-ins en WordPress-installaties zijn namelijk een voorname reden waardoor aanvallers websites weten te kapen. Zo bleek eind maart dat duizenden WordPress-websites waren gehackt via een lek in een populaire plug-in waar al geruime tijd een update voor beschikbaar is. De gehackte sites werden vervolgens gebruikt voor de verspreiding van malware. Vanwege de ernst van de nu gepatchte kwetsbaarheid heeft ook het Readiness Team van de Amerikaanse overheid (US-CERT) een waarschuwing afgegeven en adviseert beheerders om naar WordPress 4.1.2 te upgraden.
- bijv een phishingmail sturen naar een beheerder met een link, waarop de beheerder zo gek moet zijn om daarop te klikken;
- als de beheerder op die link klikt wordt bijv. foute code uitgevoerd waarbij gebruik gemaakt wordt van deze XSS-kwetsbaarheid, waarna bijv. de inlogcookies naar de hacker worden doorgestuurd;
- maar de beheerder moet dan wel heel toevallig net ingelogd zijn, want anders werkt het niet...
Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn. Maar ja, als dat het enige risico van een XSS lek is, dan zouden de WordPress ontwikkelaars de impact van dit lek niet zo hoog inschatten, dus er zal wel wat meer aan de hand zijn.
Maar zou iemand mij dat eens kunnen uitleggen, wat dit dan zou kunnen zijn?
- bijv een phishingmail sturen naar een beheerder met een link, waarop de beheerder zo gek moet zijn om daarop te klikken;
- als de beheerder op die link klikt wordt bijv. foute code uitgevoerd waarbij gebruik gemaakt wordt van deze XSS-kwetsbaarheid, waarna bijv. de inlogcookies naar de hacker worden doorgestuurd;
- maar de beheerder moet dan wel heel toevallig net ingelogd zijn, want anders werkt het niet...
Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn. Maar ja, als dat het enige risico van een XSS lek is, dan zouden de WordPress ontwikkelaars de impact van dit lek niet zo hoog inschatten, dus er zal wel wat meer aan de hand zijn.
Maar zou iemand mij dat eens kunnen uitleggen, wat dit dan zou kunnen zijn?
Eenvoudig: Met XSS is het mogelijk om HTML te injecteren in de webpagina. Daarmee kun je dus ook JavaScript uit laten voeren binnen de beveiligingscontext van diezelfde pagina.
Als je bijvoorbeeld via een commentaar XSS kunt uitvoeren op het blog, dan kun je via JavaScript het session-cookie uitleest (er even voor het gemak van uitgaande dat die niet HttpOnly is) en vervolgens een onzichtbaar img-tag injecteert met een URL van *jouw* website, dan kun je dat session-cookie zo uit je access-log vissen (of je kunt er natuurlijk een script neerzetten wat het voor je opvangt en netjes ergens in een lijstje neerzet). Vervolgens kun je het cookie in je browser zetten en dus ingelogd zijn als de beheerder van het blog, en dat blog "volledig overnemen".
https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29
- bijv een phishingmail sturen naar een beheerder met een link, waarop de beheerder zo gek moet zijn om daarop te klikken;
- als de beheerder op die link klikt wordt bijv. foute code uitgevoerd waarbij gebruik gemaakt wordt van deze XSS-kwetsbaarheid, waarna bijv. de inlogcookies naar de hacker worden doorgestuurd;
- maar de beheerder moet dan wel heel toevallig net ingelogd zijn, want anders werkt het niet...
Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn. Maar ja, als dat het enige risico van een XSS lek is, dan zouden de WordPress ontwikkelaars de impact van dit lek niet zo hoog inschatten, dus er zal wel wat meer aan de hand zijn.
Maar zou iemand mij dat eens kunnen uitleggen, wat dit dan zou kunnen zijn?
"Oftewel: die kans om dit te laten slagen zou dan zeeeer klein zijn." Je onderschat hoe groot en tegelijk hoe klein het internet is.
[sarcasm]Ja stom he?!?
Want alle alternatieven zijn wel veilig en zonder lekken en zo.... [/sarcasm]
ik heb heel veel gewerkt met joomla .
ook van wordpress en prestoshop maken wij gebruik.
al vind ik de laatste een mooi cms maar vol fouten.
zelfs in de admin zitten IE fouten en dat vind ik echt een "NO GO"
joomla vind ik fijne software binnen een dag heb je een website ( en nee geen template )
gewoon door rammen.
wordpress ik ook super.
je moet alleen de vraag stellen wat wil ik er mee en in de toekomst alleen dan kan je een goede keuze maken.
want een beste "CMS " bestaad niet.
ze hebben allemaal wel een foutje en de ene heeft andere funties dan de andere vandaar.
over prestashop laat ik me nu niet uit, meschien over 5 jaar als het een stuk beter is.
maar het forum en niet zo groot / aardig / snel als bij joomla.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
