image

Onderzoeker waarschuwt voor updateproces WordPress

dinsdag 22 november 2016, 14:24 door Redactie, 1 reacties

Een beveiligingsonderzoeker heeft gewaarschuwd voor kwetsbaarheden in het updateproces van WordPress waar aanvallers in theorie misbruik van zouden kunnen maken. WordPress is het populairste contentmanagentsysteem (cms) op internet en wordt naar schatting voor 26% van alle websites gebruikt.

WordPress beschikt over een updatefunctie waarbij beheerders hun website via het cms kunnen updaten. Het enige verificatieproces dat bij het downloaden van de update van de WordPress-servers wordt gebruikt is een md5-checksum, zo waarschuwt onderzoeker Scott Arciszewski. Verder wordt nergens in het proces de cryptografische handtekening gecontroleerd. Alle WordPress-sites vertrouwen daarnaast de updateserver.

Volgens Arciszewski is deze server dan ook de grootste "single point of failure" op internet. "Als je erin slaagt hun infrastructuur te hacken kun je een valse update naar miljoenen WordPress-blogs versturen en overal willekeurige code uitvoeren." De onderzoeker stelt verder dat PHP voor versie 5.6.0 over zeer slechte ondersteuning van sslt/tls beschikt. Een man-in-the-middle-aanval zou dan ook tot de mogelijkheden behoren, zo laat hij weten. WordPress blijft echter PHP 5.2.4 ondersteunen.

De kans dat de problemen worden opgelost zijn echter klein, aldus Arciszewski. "De WordPress-cultuur, voor wie het niet weet, vindt gebruikersaandeel belangrijker dan veiligheid." De onderzoeker gelooft dan ook niet in een oplossing. Wel heeft hij een aantal tips voor WordPress-beheerders om de veiligheid van hun website te verbeteren. Daarnaast geeft hij ook het WordPress-ontwikkelteam verschillende aanwijzingen, zoals ervoor zorgen dat WordPress alleen recentere PHP-versies ondersteunt.

Reacties (1)
22-11-2016, 14:39 door Anoniem
Onveilige updates is een probleem in veel applicaties. Vaak wordt het weggelachen door de leverancier want hoe komt er toch iemand tussen de klant en update server om MiTM toe te kunnen passen?

Nou, nation state actors? Isp's? Een gehackte router/fw/gateway? (Zowel consumer grade als enterprise systemen hebben vaak nog RCE vulns).

Vraag ook nooit of de update-server(s) wel eens onderworpen aan een pentest.

Verder is werken in cyber-security wel leuk hoor :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.