WordPress-sites gehackt via zero day-lek in Marketplace-plug-in
Een beveiligingslek in een plug-in voor WordPress waarvoor nog geen beveiligingsupdate beschikbaar is wordt actief gebruikt om websites te hacken en van een backdoor te voorzien. Daarvoor waarschuwt beveiligingsbedrijf Sucuri. De kwetsbaarheid bevindt zich in de Marketplace-plug-in.
Deze plug-in fungeert naar eigen zeggen als "volwaardige ecommerce-oplossing" voor WordPress-sites en maakt het mogelijk om een website zonder al teveel kennis in een webwinkel te veranderen. Het beveiligingslek in de plug-in maakt het mogelijk voor een aanvaller om willekeurige bestanden te uploaden. In de nu waargenomen aanvallen gaat het om een backdoor die aanvallers volledige controle over het systeem geeft.
Aangezien er geen beveiligingsupdate beschikbaar is hebben de ontwikkelaars van WordPress de plug-in van de WordPress.org Plugin Directory verwijderd. Volgens cijfers zou de plug-in op minder dan 500 WordPress-sites zijn geïnstalleerd. Het geeft echter ook aan dat zelfs obscure plug-ins de aandacht van aanvallers hebben.
Reacties (14)
18-10-2016, 12:30 door
[Account Verwijderd]
[Verwijderd]
Door OpenXOR: Tja, het blijft Wordpress. Voor alle gehackte-Wordpress-website eigenaren geldt 'eigen schuld, dikke bult'.
Een reactie voor mensen zonder verstand....
Door OpenXOR: Tja, het blijft Wordpress. Voor alle gehackte-Wordpress-website eigenaren geldt 'eigen schuld, dikke bult'.
Door OpenXOR: Tja, het blijft Wordpress. Voor alle gehackte-Wordpress-website eigenaren geldt 'eigen schuld, dikke bult'.
Dat is net zo zinloos als zeggen: Je PC is geïnfecteerd, had je maar niet op internet moeten gaan 'eigen schuld, dikke bult'.Alles valt of staat met keuzes. Wordpress is misschien wbt structuur niet de beste optie. Aan de andere kant is het het meest aangevallen systeem. Dus, als je je patch management goed onderhoudt. En selectief bent in de keuzes van de modules,dan denk ik dat het net zo goed of slecht is als welk ander systeem.
Wellicht een beetje eigen schuld als er een update van de plugin beschikbaar zou zijn. Dit is een zero-day; hoe wil jij je daartegen bewapenen? Ga je zelf een pentest doen voordat je zo'n plugin gebruikt?
Zelfs al zou er een update voor de plugin beschikbaar zijn, dan nog zijn er veel mensen en bedrijven die een WordPress website (laten) bouwen en zich niet bewust zijn van de risico's of expertise om te updaten. De auto update van de WordPress core sinds recente versies is een belangrijke stap in de goede richting. Dit soort aanvullen die onbekende beveiligingsproblemen misbruiken zijn niet te voorkomen, alhoewel 500 installaties van zo'n plugin wel heel erg weinig is en te denken geefft over de kwaliteit of meerwaarde t.o.v. meer gerenommeerde plugins als WooCommerce. Als je de reviews van deze plugin bekijkt, werkt deze helemaal niet goed en wordt het zelfs als malware bestempeld. Het zou me dus niet verbazen als deze plugin met dat doel is uitgegeven. Misschien dat WordPress beter moet scannen op verdachte plugins, bijv. op basis van dit soort reviews van meer dan 8 maanden geleden:
Actively searched for by hackers
Plugin Buggy, bad practices, no support
Garbage Product and they Refuse Refunds
Zelfs al zou er een update voor de plugin beschikbaar zijn, dan nog zijn er veel mensen en bedrijven die een WordPress website (laten) bouwen en zich niet bewust zijn van de risico's of expertise om te updaten. De auto update van de WordPress core sinds recente versies is een belangrijke stap in de goede richting. Dit soort aanvullen die onbekende beveiligingsproblemen misbruiken zijn niet te voorkomen, alhoewel 500 installaties van zo'n plugin wel heel erg weinig is en te denken geefft over de kwaliteit of meerwaarde t.o.v. meer gerenommeerde plugins als WooCommerce. Als je de reviews van deze plugin bekijkt, werkt deze helemaal niet goed en wordt het zelfs als malware bestempeld. Het zou me dus niet verbazen als deze plugin met dat doel is uitgegeven. Misschien dat WordPress beter moet scannen op verdachte plugins, bijv. op basis van dit soort reviews van meer dan 8 maanden geleden:
Actively searched for by hackers
Plugin Buggy, bad practices, no support
Garbage Product and they Refuse Refunds
Door OpenXOR: Tja, het blijft Wordpress. Voor alle gehackte-Wordpress-website eigenaren geldt 'eigen schuld, dikke bult'.
Totaal onzinnige opmerking.Als iets populair is en veel gebruikt wordt dat natuurlijk gebruikt om aan te vallen omdat dan het aantal slachtoffers groter is.
18-10-2016, 14:41 door
[Account Verwijderd]
[Verwijderd]
18-10-2016, 14:45 door
[Account Verwijderd]
[Verwijderd]
Voor WordPress geldt het zelfde als bij elk ander CMS, update en patch en configureer veilig.
Check de plug-ins, thema's. links, Iframes en ook of het goed is geconfigureerd. (user enumeration, directory listing).
Aanraders voor een ruwe beginscan, o.a.: https://hackertarget.com/wordpress-security-scan/
Dan een scannetje hier op af te voeren bibliotheken: https://hackertarget.com/wordpress-security-scan/
en tenslotte algemener bij: https://observatory.mozilla.org/ & https://sritest.io/
en hier: cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp & https://test.drownattack.com/?site=
Ook niet vergeten hier even te scannen: https://aw-snap.info/file-viewer/
En bedenk dat wat kan worden gecodeerd, vaak ook kan worden gehackt.
De aanvaller heeft het hierbij altijd gemakkelijker als degene, die moet verdedigen.
De ene heeft soms als ie geluk heeft aan een klein werkend wormgaatje genoeg,
de tweede moet een heel manuaal nalopen en dan letten op alle mogelijke kwetsbaarheden
en bestaande en/of nieuwe exploits.
groetjes,
luntrus
Check de plug-ins, thema's. links, Iframes en ook of het goed is geconfigureerd. (user enumeration, directory listing).
Aanraders voor een ruwe beginscan, o.a.: https://hackertarget.com/wordpress-security-scan/
Dan een scannetje hier op af te voeren bibliotheken: https://hackertarget.com/wordpress-security-scan/
en tenslotte algemener bij: https://observatory.mozilla.org/ & https://sritest.io/
en hier: cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp & https://test.drownattack.com/?site=
Ook niet vergeten hier even te scannen: https://aw-snap.info/file-viewer/
En bedenk dat wat kan worden gecodeerd, vaak ook kan worden gehackt.
De aanvaller heeft het hierbij altijd gemakkelijker als degene, die moet verdedigen.
De ene heeft soms als ie geluk heeft aan een klein werkend wormgaatje genoeg,
de tweede moet een heel manuaal nalopen en dan letten op alle mogelijke kwetsbaarheden
en bestaande en/of nieuwe exploits.
groetjes,
luntrus
Door OpenXOR
Deze persoon zonder verstand heeft al vele jaren vele websites online zonder enige hack. Ik hoef me geen zorgen te maken over zero-days, exploits en patches. Ik kan m'n tijd lekker besteden aan leuke en nuttige zaken. Slaap lekker!
Deze persoon zonder verstand heeft al vele jaren vele websites online zonder enige hack. Ik hoef me geen zorgen te maken over zero-days, exploits en patches. Ik kan m'n tijd lekker besteden aan leuke en nuttige zaken. Slaap lekker!
Als je nou wat nuttigs deed met die tijd, en er inderdaad nuttige dingen in deed zoals verwijzen naar een artikel dat overtuigend aangeeft dat Wordpress inderdaad zoals jij aangeeft "onveilige rommel" is, of beter nog, dat je vertelt met welk systeem jij jouw 'vele websites' zonder enige hack online weet te houden, dan zouden we je als toffe gozer onthalen hier. Maar het enige dat er kennelijk bij je te binnen schiet is wat hagel, wat geruchten, maar geen informatie waar iemand dan ook maar iets aan heeft...
Overigens niet nieuw, in september deed je min of meer hetzelfde in een soortgelijk Wordpress topic. Iets met holle vaten en hard klinken en zo...
18-10-2016, 22:48 door
[Account Verwijderd]
[Verwijderd]
Deze discussie heeft men hier al enige keren voorbij zien komen. Wat ik ervan begrepen heb, is het zo dat de kernel software bij WordPress wel aardig wordt bijgehouden, het zijn juist de thema's en de legio plug-ins, die mits niet goed getest of in het ergste geval als "verlaten" code een groot gevaar kunnen vormen.
In heel veel gevallen is de CMS versie ook nog oud, heeft men jquery code laten staan vanaf het moment dat het erop geplempt werd. Is" user enumeration" en "directory listing" "enabled" blijven staan en noem zo nog maar een paar zaken op (onveilige links - iFrames).
Men is hier in de meeste gevallen nog helemaal niet begonnen om sri-hashes te genereren tot het verkrijgen van "same origin" voor externe embedded scripts bijvoorbeeld. Security headers niet geïmplementeerd. Excessieve server header proliferatie code gevonden, http only cookies waarchuwing gegeven, clickjacking kwetsbaarheid aangetroffen. Naamservers die naar boven toe een DROWn exploit doordrenzen.
DOM-XSS sources en sinks. Niet door-geteste inline javascript (afgeleverd als "safe for use"), en noem de hele riedel potentiele onveiligheid maar op.
Oh ja en nog verkeerd geïnstalleerde certificaten, zie SSL-crypto rapporten en als "root" geïnstalleerd. Geen toepassing van CSP beveiliging, wat al bij de derde versie is aangekomen.
Als men geen verstand van het beveiligen van websites heeft, moet men er niet aan beginnen of 't aan anderen overlaten.
Alle beveiligingslagen zijn niet altijd nodig, gezien het belang van de content beveiliging kan men een bepaalde afweging maken. Maar de helft van wat ik tegenkom online is potentieel onveilig en kan gecompromitteerd worden. Dat is geen leuke vaststelling en dat heeft niet altijd alles met het CMS van doen, maar ook veel met de kennis van degene die ontwerpt en onderhoudt.
Dan zijn er nog dingen die buiten ons bereik als webmaster liggen zoals de inherente onveiligheid van goedkopere bulk-hosting en bulk cdn. Denk hierbij aan de GoDaddy ellende en de CloudFlut e2e nachtmerrie en de data-breaches hier en daar.
En we zwijgen dan maar over het niet toepassen van standaarden voor eigen doeleinden, SEO hacking, onveilige IDs tracking en allerlei "kunstjes" ten dienste van mega-advertentieboeren en data-slurper winsten, krachten die even graag verdienen aan een legale dan een semi-criminele klik.
Wordt het ooit nog eens beter online? Het blijft vaak tegen alle verwachtingen in nog goed gaan.
Een wonder vaak en gezien wat ik zo online tegenkom, heb ik er weinig vertrouwen in dat het beter wordt.
Gezien wat er hier onderling aan kennis gedeeld wordt (dank daarvoor), zou je wat anders verwachten,
maar dat is vaak slechts een druppel op de gloeiende plaat.
In heel veel gevallen is de CMS versie ook nog oud, heeft men jquery code laten staan vanaf het moment dat het erop geplempt werd. Is" user enumeration" en "directory listing" "enabled" blijven staan en noem zo nog maar een paar zaken op (onveilige links - iFrames).
Men is hier in de meeste gevallen nog helemaal niet begonnen om sri-hashes te genereren tot het verkrijgen van "same origin" voor externe embedded scripts bijvoorbeeld. Security headers niet geïmplementeerd. Excessieve server header proliferatie code gevonden, http only cookies waarchuwing gegeven, clickjacking kwetsbaarheid aangetroffen. Naamservers die naar boven toe een DROWn exploit doordrenzen.
DOM-XSS sources en sinks. Niet door-geteste inline javascript (afgeleverd als "safe for use"), en noem de hele riedel potentiele onveiligheid maar op.
Oh ja en nog verkeerd geïnstalleerde certificaten, zie SSL-crypto rapporten en als "root" geïnstalleerd. Geen toepassing van CSP beveiliging, wat al bij de derde versie is aangekomen.
Als men geen verstand van het beveiligen van websites heeft, moet men er niet aan beginnen of 't aan anderen overlaten.
Alle beveiligingslagen zijn niet altijd nodig, gezien het belang van de content beveiliging kan men een bepaalde afweging maken. Maar de helft van wat ik tegenkom online is potentieel onveilig en kan gecompromitteerd worden. Dat is geen leuke vaststelling en dat heeft niet altijd alles met het CMS van doen, maar ook veel met de kennis van degene die ontwerpt en onderhoudt.
Dan zijn er nog dingen die buiten ons bereik als webmaster liggen zoals de inherente onveiligheid van goedkopere bulk-hosting en bulk cdn. Denk hierbij aan de GoDaddy ellende en de CloudFlut e2e nachtmerrie en de data-breaches hier en daar.
En we zwijgen dan maar over het niet toepassen van standaarden voor eigen doeleinden, SEO hacking, onveilige IDs tracking en allerlei "kunstjes" ten dienste van mega-advertentieboeren en data-slurper winsten, krachten die even graag verdienen aan een legale dan een semi-criminele klik.
Wordt het ooit nog eens beter online? Het blijft vaak tegen alle verwachtingen in nog goed gaan.
Een wonder vaak en gezien wat ik zo online tegenkom, heb ik er weinig vertrouwen in dat het beter wordt.
Gezien wat er hier onderling aan kennis gedeeld wordt (dank daarvoor), zou je wat anders verwachten,
maar dat is vaak slechts een druppel op de gloeiende plaat.
Door OpenXOR:
Door Anoniem:
Een reactie voor mensen zonder verstand....
Deze persoon zonder verstand heeft al vele jaren vele websites online zonder enige hack. Ik hoef me geen zorgen te maken over zero-days, exploits en patches. Ik kan m'n tijd lekker besteden aan leuke en nuttige zaken. Slaap lekker!Een reactie voor mensen zonder verstand....
HTML files hosten != een web applicatie runnen.
Het probleem wordt ook vooral overschaduwd door de gebruikers van wordpress, niet wordpress zelf.
Laten we eens kijken naar het gros van de wordpress-gebruikers: krijgen vaak zelf amper apache draaiende. En deze mensen moeten vervolgens tussen de legio plugins degene vinden die goed genoeg onderhouden worden om niet misbruikt te zoeken... maar deze gebruikers kijken veelal naar gemak en aantal opties ipv die belangrijkere factoren, en daar ligt vaak nou net de crux. Dat soort samenspeling kan zelfs bsd onveilig dreigen te maken.
Laten we eens kijken naar het gros van de wordpress-gebruikers: krijgen vaak zelf amper apache draaiende. En deze mensen moeten vervolgens tussen de legio plugins degene vinden die goed genoeg onderhouden worden om niet misbruikt te zoeken... maar deze gebruikers kijken veelal naar gemak en aantal opties ipv die belangrijkere factoren, en daar ligt vaak nou net de crux. Dat soort samenspeling kan zelfs bsd onveilig dreigen te maken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
