image

Ongepatcht beveiligingslek in WordPress openbaar gemaakt

woensdag 27 juni 2018, 16:30 door Redactie, 5 reacties

Er bevindt zich een ongepatcht beveiligingslek in WordPress waardoor aanvallers websites in bepaalde gevallen volledig kunnen overnemen, code op de onderliggende server kunnen uitvoeren en willekeurige bestanden kunnen verwijderen. De kwetsbaarheid is meer dan 7 maanden geleden aan de WordPress-ontwikkelaars gerapporteerd, maar een beveiligingsupdate is nog steeds niet voorhanden.

De kwetsbaarheid doet zich voor doordat gebruikersinvoer voor de deletefunctie niet goed wordt opgeschoond. Om van het lek gebruik te kunnen maken moet een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" is al voldoende om de kwetsbaarheid te misbruiken. Een aanvaller kan bijvoorbeeld het account van een WordPress-gebruiker proberen te kapen of misbruik van een ander beveiligingslek maken om hier toegang toe te krijgen.

Ook biedt het lek mogelijkheden voor kwaadwillende medewerkers van een WordPress-site. Wanneer de aanvaller over een account beschikt is het mogelijk om elk willekeurig WordPress-bestand te verwijderen, alsmede alle andere bestanden die op de server staan. Daarnaast kan de aanvaller bepaalde beveiligingsmaatregelen omzeilen en willekeurige code op de server uitvoeren. Tevens maakt de kwetsbaarheid het mogelijk om de WordPress-site over te nemen.

De ontwikkelaars van WordPress werden op 20 november vorig jaar over de kwetsbaarheid ingelicht. Op 24 januari van dit jaar liet het ontwikkelteam weten dat een update naar schatting 6 maanden in beslag zou nemen. Eind mei vroegen onderzoekers van securitybedrijf RIPS Technologies om een update, maar kregen geen reactie. Daarop zijn nu de details openbaar gemaakt. Ook heeft het securitybedrijf een tijdelijke "hotfix" gemaakt. Deze hotfix wordt met name aangeraden voor websites waar meerdere gebruikers op het WordPress-systeem kunnen inloggen.

Reacties (5)
27-06-2018, 18:37 door Anoniem
Ik heb er nog eentje!

Als ik in ISPConfig een "verse" Wordpress installeer (ja, ik heb de package-list geupdate...), en ik zet daarna enkel de niewste Sucuri erop, dan zegt Sucuri dat er twee originele Wordpress files helemaal niet origineel zijn. Maar door iets zijn vervangen. Waaronder de functions.php van Wordpress zelf. Op een verse nieuwe website met nieuw (sub)domein.

Het lijkt opgelost te zijn door in Wordpress zelf, Wordpress opnieuw te installeren. En dan handmatig de twee copy files, die Sucuri dan nog meldt, van de server te verwijderen.

Mijn ISPConfig is versie 3.1.11.

Kan iemand dit reproduceren en bevestigen?
27-06-2018, 19:30 door Anoniem
Door Anoniem: Ik heb er nog eentje!

Als ik in ISPConfig een "verse" Wordpress installeer (ja, ik heb de package-list geupdate...), en ik zet daarna enkel de niewste Sucuri erop, dan zegt Sucuri dat er twee originele Wordpress files helemaal niet origineel zijn. Maar door iets zijn vervangen. Waaronder de functions.php van Wordpress zelf. Op een verse nieuwe website met nieuw (sub)domein.

Het lijkt opgelost te zijn door in Wordpress zelf, Wordpress opnieuw te installeren. En dan handmatig de twee copy files, die Sucuri dan nog meldt, van de server te verwijderen.

Mijn ISPConfig is versie 3.1.11.

Kan iemand dit reproduceren en bevestigen?

Het zou makkelijker zijn als jij gewoon eventjes die bestanden upload.
27-06-2018, 19:54 door Anoniem
De claim dat je willekeurige code kan uitvoeren is te ver gezocht. Een beheerder met lage rechten kan een situatie veroorzaken waarbij de website opnieuw geinstalleerd moet worden. Maar voor er dan willekeurige code uitgevoerd kan worden moet die beheerder met lage rechten wel eerst de juiste accountgegevens hebben om de site te installeren en daarmee de rechten te verhogen tot een administrator van wordpress. Als een beheerder met lage rechten die accountgegevens kan raden of al heeft dan moet je je om veel meer zorgen maken dan dit beveiligingslek.

Het kunnen verwijderen van willekeurige bestanden blijft ondanks dat wel een serieus probleem. Als wordpress zegt 6 maanden nodig te hebben om te patchen en de ontdekkers een kleine patch uitgeven zou ik wel twijfelen of die kleine patch een oplossing is en of ze bij wordpress echt zoveel tijd nodig hebben om een patch te ontwikkelen. Het verhelpen van het beveiligingslek lijkt voor beide partijen geen hoogste prioriteit te hebben.
28-06-2018, 10:21 door Anoniem
Door Anoniem: Ik heb er nog eentje!

Als ik in ISPConfig een "verse" Wordpress installeer (ja, ik heb de package-list geupdate...), en ik zet daarna enkel de niewste Sucuri erop, dan zegt Sucuri dat er twee originele Wordpress files helemaal niet origineel zijn. Maar door iets zijn vervangen. Waaronder de functions.php van Wordpress zelf. Op een verse nieuwe website met nieuw (sub)domein.

Het lijkt opgelost te zijn door in Wordpress zelf, Wordpress opnieuw te installeren. En dan handmatig de twee copy files, die Sucuri dan nog meldt, van de server te verwijderen.

Mijn ISPConfig is versie 3.1.11.

Kan iemand dit reproduceren en bevestigen?

Ik weet dat als Wordfence security aangeeft dat er een bestand aangepast/niet origineel is je kan klikken op de optie "bekijk de verschillen"
Weet niet of die optie ook in Sucuri zit anders kan je zelf zien wat er anders is
of je gebruikt een programma zoals "meld diff viewer" om de originele en de aangepaste functions.php te bekijken
28-06-2018, 12:12 door Anoniem
Gisteren ISPConfig geactualiseerd, en de package list. Een nieuwe website aangemaakt, waar nog nooit WordPress op gedraaid heeft. Via ISPConfig WordPress geinstalleerd, en direct daarna Sucuri.

Sucuri meldt dan dat de volgende files NIET originele Wordpress files zijn:
93.63K 28/06/2018 07:31 wp-admin/includes/upgrade.php.orig
182.20K 28/06/2018 07:31 wp-includes/functions.php.orig
93.65K 28/06/2018 07:31 wp-admin/includes/upgrade.php
182.21K 28/06/2018 07:31 wp-includes/functions.php
33.43K 28/06/2018 07:31 wp-includes/load.php

Vervolgens via de admin WordPress ge-herinstalleerd.

Dan blijft Sucuri enkel nog klagen over upgrade.php.orig en functions.php.orig. Na die met rm verwijderd te hebben, meldt Sucuri dat eindelijk alles in orde is. Mijn server-permissies staan allemaal netjes. Er kan niet zomaar vanuit een andere site of door een andere user wat veranderd worden. En ik ben de enige (root) user op de server. De server is dedicated, niet virtueel.

Ik zou het experiment natuurlijk nog eens kunnen overdoen, en met diff bekijken wat er veranderd is ten opzichte van de originele WordPress files...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.