Nieuws
image

WordPress-sites aangevallen via lek in Duplicator-plug-in

zondag 16 september 2018, 09:39 door Redactie, 5 reacties

WordPress-sites met een verouderde versie van de Snap Creek Duplicator-plug-in zijn het doelwit van aanvallen, zo waarschuwt securitybedrijf Sucuri. De verouderde versies laten een aanvaller op afstand willekeurige code uitvoeren. Via de plug-in is het mogelijk om een website van de ene naar de andere locatie te kopiëren of te verplaatsen. Ook fungeert het als een eenvoudige back-uptool.

De plug-in is op meer dan 1 miljoen websites actief en is volgens de ontwikkelaars meer dan 10 miljoen keer gedownload. Om de aanval mogelijk te maken zijn er echter wel verschillende vereisten. Zo moet het bestand installer.php door de plug-in zijn gecreëerd en moet dit bestand in de root-map van de website zijn achtergebleven. Tevens moet de gebruikte Duplicator-plug-in ouder zijn dan versie 1.2.42. Deze versie verscheen op 24 augustus en verhelpt het beveiligingslek. Een soortgelijke kwetsbaarheid werd vorig jaar ook al in de plug-in ontdekt.

In beide gevallen zorgen de kwetsbaarheden ervoor dat bij het gebruik van de plug-in het kwetsbare bestand installer.php achterblijft op de server. Ook al hebben eigenaren de meest recente versie van de plug-in geïnstalleerd, dan kan het kwetsbare bestand installer.php nog steeds in de root-map van de WordPress-sites aanwezig zijn. Beheerders krijgen dan ook het advies om dit bestand direct te verwijderen.

Sucuri ziet naar eigen zeggen een toenemend aantal gevallen waarbij de aanvallers WordPress-sites uitschakelen door het wp-config.php-bestand te verwijderen of te overschrijven. Al deze gevallen hangen samen met de kwetsbare Duplicator-plug-in. Waarom de aanvallers dit doen is onduidelijk, aldus het securitybedrijf. Mogelijk gaat het om een mislukte manier om de website over te nemen.

Bij verschillende van de websites werden ook backdoors aangetroffen, maar het is nog onduidelijk of die via de kwetsbaarheid of op een andere manier zijn geïnstalleerd. Voor het herstellen van getroffen WordPress-sites moet er een nieuw wp-config.php-bestand met de juiste database-inloggegevens worden aangemaakt.

Reacties (5)
16-09-2018, 14:09 door Anoniem
Hier wreken zich weer de zwakheden van een CMS in handen van degenen, die niet goed weten of geïnstrueerd zijn om dit juist te configureren. Meestal zal een scan via https://hackertarget.com/wordpress-security-scan/ een en ander wel blootleggen. Het zelfde geldt voor de gebruikte scripts via http://retire.insecurity.today/# .

Lees over de overschrijvingskwetsbaarheden bij installer.php hier: https://github.com/vichan-devel/vichan/issues/284

Ontwikkelen met een cheatsheet ernaast wordt bijna noodzaak bij PHP toepassings code, alsmede het updaten van wp-config.php en testen op content injectie kwetsbaarheden: https://secure.wphackedhelp.com/blog/wordpress-vulnerabilities-how-to-fix-guide-tools/

Ook zien we nog steeds user enumeration op enabled staan alsmede diretory listing. Sommigen hebben er dus geen kaas van gegeten of weten dit simpelweg niet. Een website veilig configureren is net zoals met alles wel iets dat je moet kunnen.
Derhalve "Leer om te weten, weet om te kunnen en slagen is je loon".

luntrus
16-09-2018, 16:16 door Anoniem
Ik heb duplicator een tijd geleden gekocht. Het gebruik voor backups ligt stil. (Ik heb andere backup mogelijkheden), maar het blijft handig om even snel een site te migreren of om een testomgeving te maken.

Wat me ging storen was dat er bijna dagelijks updates van die plugin uitkwamen. (En dan ook nog gedoe want automatische update werkt meestal niet).

Ik heb het op de achterbank gezet. Je herkent er de jeugd van tegenwoordig in. Die het leuk vindt om te programmeren maar testen? Joh, laten we gewoon door onze klanten doen want testen is kudtwerk. Gewoon elke beta als updare de werwld in schieten. Klaagt er iemand? Morgen komt de nieuwe update toch weer uit?

Dat laten slingeren van install.php heb ik al veel vaker gezien. Dat dat ook nog onveilig blijkt, verbaast me niet zo veel.

Ze gebruiken daarnaast voor grote backups een .als formaat. Dat ik met geen tool handmatig uitgepakt kan krijgen. Wat is er mis met gzip, kids, dat opa nog heeft uitgevonden? Ook daarbij zie je duidelijk luie kids die toen basic unix op school werd gegeven, ze even aan het spijbeken waren omdat de nieuwe Xbox net uit was.

Als er nou iets belangrijk is, dan zijn het je backups. Daar zouden zulke kinderen eigenlijk geen plugins voor mogen schrijven.
17-09-2018, 10:05 door Anoniem
Duplicator toont na installatie een scherm waarin je 2 acties moet doen 1 is permalinks bevestigen en 2 is installatiebestanden verwijderen via een knop. Dit is al jaren zo. De knop werkt ook zoals bedoeld en verwijderd zowel de installer.php en .archive.zip in root folder. Back-ups worden opgeslagen in de uploads/snapshots folder als default en zijn niet kwetsbaar voor deze exploit. Ik kan ook niet de actie reproduceren waarbij de installer.php achterblijft na het gebruik van de opschoon knop onder de genoemde versie die het probleem zou moeten oplossen.

Kortom het risico zover wij het kunnen waarnemen is er enkel als je de instructies niet leest van de plug-in of als iemand exact het moment van installatie een aanval uitvoert. Maar dit risico is er ook als je de standaard Wordpress installatie methode gebruikt zonder eerst een IP restrictie op te geven in .htaccess.

De vraag is waarom zou je in hemelsnaam een installatie script draaien dat publiekelijk toegankelijk is in the first place.

Verder is de standaard bestandsformat .zip zelfde voor de pro versie. geen idee hoe je .als als standaard hebt gekregen 16:16 maar dat is niet hoe de plug-in hoort ingesteld te staan misschien even de plug-in verwijderen en opnieuw installeren.
17-09-2018, 18:22 door Anoniem
Door Anoniem: Duplicator toont na installatie een scherm waarin je 2 acties moet doen 1 is permalinks bevestigen en 2 is installatiebestanden verwijderen via een knop. Dit is al jaren zo. De knop werkt ook zoals bedoeld en verwijderd zowel de installer.php en .archive.zip in root folder. Back-ups worden opgeslagen in de uploads/snapshots folder als default en zijn niet kwetsbaar voor deze exploit. Ik kan ook niet de actie reproduceren waarbij de installer.php achterblijft na het gebruik van de opschoon knop onder de genoemde versie die het probleem zou moeten oplossen.

Kortom het risico zover wij het kunnen waarnemen is er enkel als je de instructies niet leest van de plug-in of als iemand exact het moment van installatie een aanval uitvoert. Maar dit risico is er ook als je de standaard Wordpress installatie methode gebruikt zonder eerst een IP restrictie op te geven in .htaccess.

De vraag is waarom zou je in hemelsnaam een installatie script draaien dat publiekelijk toegankelijk is in the first place.

Verder is de standaard bestandsformat .zip zelfde voor de pro versie. geen idee hoe je .als als standaard hebt gekregen 16:16 maar dat is niet hoe de plug-in hoort ingesteld te staan misschien even de plug-in verwijderen en opnieuw installeren.

Ah, sorry, het is geen .als maar .daf file. Wat komt als je een grote site hebt (de mijne is nu 20 Gb.) Soms lukt, door een trage connectie de installer niet, en dan wordt handmatige decompressie aanbevolen. Waar dus geen tool voor bestaat in linux!

Dit alles als je niet een versie van Duplicator Pro hebt, die mank is. Want dan lukt niks meer. Dat betekende ook dat ik sowieso bij elke nieuwe update van Duplicator hetzij de versies handmatig moest downloaden en bewaren, hetzij er allemaal tar files van moest bijhouden voor het geval er iets mis gaat.

Standaard support smoezen zijn dan, het zal wel aan conflicten met andere plugins liggen, je moet de instructies maar lezen, geef je admin wachtwoord maar, dan kijken wij wel tegen betaling, of de leukste tot nu toe, met een buddypress thema dat een major update kreeg waardoor niks meer werkte: Dan moet je gewoon de demo database installeren. Ofwel al mijn bestaande users weggooien en opnieuw beginnen. Enneh als je het niet gereproduceerd krijgt, nou ik waarschijnlijk nog wel. Is ook zo een klassieke support smoes: niet reproduceerbaar. Het is relevant, maar niet als er elke twee dagen ongeteste rommel over de muur gegooid wordt. Ik heb wel wat anders te doen dan test-engineertje spelen voor een betaald product van anderen.

Daarnaast, als er een vrolijk bewekende javascript button es een keer de mist in gaat met een update, kan gebeuren. Maar hele backups de mist in, maak dan plugins voor interactieve kleurboekjes of zo, maar niet voor backups!
18-09-2018, 21:41 door Anoniem
Ah Duplicator Pro tja dat is een compleet ander beest. Zelf weinig ervaring met .daf gelukkig. Wat ik zelf doe met sites groter dan 5GB is bestanden via sftp en dan de database los via Duplicator. Ander redelijk werkend alternatief is All in One WP alleen dat vergt dan wel weer een werkende Wordpress omgeving voor je de Back-up kan terugzetten heeft dan ook niet mijn voorkeur als ik kan kiezen.

Klinkt als een paar zeer rottige incidenten die je hebt meegemaakt met Snapcreek support hopelijk geen nieuwe meer.

Terugkomend op het nieuws bericht helaas tot nu toe nog weinig onderbouwing van Sucuri waarom de wp-config.php rewrite aanval toename specifiek te maken hebben met Duplicator. Geen statistieken vrijgeven van aantal aanvallen dus hoe graag ik hun waarschuwing ook serieus wil nemen er is weinig data om dat te kunnen. Ik heb ook tot nu toe van geen enkel beveiliging kanaal een alert gezien dat er een toegenomen dreiging is en normaal zijn ze er als de kippen bij om hun dienst te promoten.

Als iemand bronnen heeft met meer data, zeer op prijs gesteld als deze gedeeld kan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure