Malware besmet duizend WordPress-sites via oud themes-lek
Meer dan duizend WordPress-sites zijn met malware besmet geraakt omdat ze een beveiligingsupdate voor een oude kwetsbaarheid in twee themes niet geïnstalleerd hebben. Het gaat om de themes Newspaper en Newsmag. Het lek waar de aanvallers gebruik van maken werd in april 2016 gepatcht.
Toch zijn er nog altijd websites die de update niet hebben uitgerold. Via de kwetsbaarheid kan een aanvaller kwaadaardige JavaScript in de website injecteren. Oorspronkelijk werd de geïnjecteerde JavaScript-code gebruikt voor het weergeven van pop-ups op gehackte website of het doorsturen van bezoekers naar andere websites. Een nieuwe variant van de aanval stuurt aanvallers nog steeds door naar andere websites, maar maakt ook een nieuwe WordPress-beheerder aan genaamd "simple001".
Daarmee hebben de aanvallers volledige controle over de website. Zelfs wanneer een WordPress-gebruiker de infectie verwijdert en de kwetsbaarheid patcht, blijft de aanvaller via het aangemaakte beheerdersaccount toegang houden. Volgens securitybedrijf Sucuri zijn meer dan duizend WordPress-sites door de nieuwe variant van de aanval getroffen.
Thema gaten zijn kwalijker als plug-in gaten, die zouden beter moeten worden gescreened door de core-mensen.
Men blijft natuurlijk nog steeds verkeerd configureren met user enumeration op aan en directory listing,
met af te voeren jQuery bibliotheken en third party code, die onvoldoende gemonitord wordt op same origin regel.
CMS mensen maken hiermee fouten, er worden fouten gemaakt door hosters.
Net als met dat merk drop, het zou verboden moeten worden.
Als je kijkt naar het aantal gebruikers, plug-ins en thema´s valt het allemaal wel mee vind ik.
Ja de kern-software is heus wel goed onderhouden. Hosters hebben er helaas minder omkijken naar als hetgeen Google in de Store. Dat is vaak niet aan te roeien veel ook. Dat is op zo'n schaal niet goed te vergelijken.
Er is echter altijd ook nog heel veel ruimte voor veel "heads-ups" bij het leren gebruiken van 'best policies'.
Het zou al een hele verbetering zijn bij voorbeeld als men alleen al certificaten niet langer als root op de server installeerde. En zo is er nog een hele waslijst van maatregelen te nemen bij configuratie, die de boel veiliger maakt.
Af te voeren jQuery libraries? Nou dat is nou net iets dat niet mee valt. Daar gebruikt men vaak meerdere versies door elkander. Wat men heeft verworven aan bibliotheken, moet men ook als de tijd komt willen afvoeren.
Scan hier maar eens voor een willekeurige Word Press website of blogsite: retire.insecurity.today/#
m.vr.gr.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
