Gehackte site securitybedrijf stuurde bezoekers naar malware
Aanvallers zijn er onlangs in geslaagd om kwaadaardige code aan een WordPress-site van securitybedrijf Flashpoint toe te voegen die bezoekers naar een website met malware doorstuurde. Dat heeft het bedrijf in een verklaring op de eigen website bevestigd.
Het gaat om de website flashpoint-intel.com die vermoedelijk in de nacht van vrijdag 12 april op zaterdag 13 april via een kwetsbare Wordpressplug-in werd gecompromitteerd. Dit houdt in dat het securitybedrijf advies om de plug-in te verwijderen niet heeft opgevolgd. Op 10 april waarschuwden securitybedrijven Sucuri en Wordfence voor een beveiligingslek in de Yuzo Related Posts-plug-in dat actief werd aangevallen en waarvoor geen beveiligingsupdate beschikbaar was.
De ontwikkelaar van de plug-in liet vervolgens weten dat er een update zou verschijnen en adviseerde gebruikers om Yuzo direct van hun website te verwijderen totdat de patch beschikbaar was. Twee dagen later was de plug-in nog steeds op de WordPress-site van Flashpoint aanwezig en kon zodoende door aanvallers worden misbruikt.
De kwaadaardige code die de aanvallers toevoegden stuurde bezoekers door naar een malafide website. Deze website toonde een pop-up die naar malware linkte. Op 14 april werd de Flashpoint-website door het securitybedrijf opgeschoond. Naar aanleiding van het incident heeft Flashpoint besloten om alle onnodige plug-ins te verwijderen en de website verder te hardenen.
Wat er precies aan de hand is, is niet belangrijk. Het bericht is eenduidig en helder: Iedereen aan de paniek nu.
Wat er precies aan de hand is, is niet belangrijk. Het bericht is eenduidig en helder: Iedereen aan de paniek nu.
Daar hebben we hier meer vraagjes bij zien stellen,
o.a. door onze vriend Krakatau.
Een op PHP gebaseerd CMS, dan wel te verstaan,
vooral indien het niet goed is geconfigureerd, hetgeen hier voor deze website wel klopt,
en de versie van de kernel software,
maar de plug-ins niet altijd up to date zijn of kwetsbaar blijken te zijn.
Dat is vragen om problemen.
Als we kijken naar hun Word Press site (via cold reconnaissance 3rd party scanning)
Dan zit hier op deze externe link ook nog de nodige narigheid:
https://www.virustotal.com/#/domain/bam.nr-data.net
gedetecteerd door Fortinet's en Trustwave.
En maar vertrouwen op de expertise van de Cloudflare hosting.
XSS-DOM for wp-slimstat linkt naar:
http://35stupenek.ru/wp-includes/js/jquery/jquery-migrate.min.js?ver=1.2.1
Ik zeg beveiliging op de site is niet direct "snake oil",
maar toch hapert er iets aan, zoals de finesse van de expertise
of er is hier sprake van "floppiness" uit verkeerde zuinigheid
met een staf die degenen, die het moeten doen in de weg zit?
Komt vaker voor dan men denkt.
CEO's en managers weten het beter.
waarvan akte,
luntrus
Wat er precies aan de hand is, is niet belangrijk. Het bericht is eenduidig en helder: Iedereen aan de paniek nu.
"Computer security" zoals de branche het nu doet toont vrij sterke gelijkenissen met het verhaal van de nieuwe kleren van de keizer. Zolang er over "gehacked! door hackers! met hacks!" geluld wordt, kun je er veilig vanuitgaan dat dat nog het geval is. Dit bedrijf volgt dus gewoon de "best current industry practice". "Hackers!"
Even vrij vertaal: we veroordelen, in de eerste plaats diegenen, die het aankaarten
en degenen, die het hebben veroorzaakt blijven we uit de wind houden.
Net als bij klokkeluiders en daders.
De klokkeluiders moeten veroordeeld en de daders gaan veelal nog vrijuit.
Of "best practices"betekent in veel gevallen voor een dubbeltje op de eerste lang willen zitten
en dat volhouden tot het volgende incident.
Een of ander lam excuus verzinnen en lekker op de oude voet verder gaan.
Wie maakt me wat en zo vul ik mijn zakken instelling.
Dat je zelf a.h.w. om de ellende hebt gevraagd,
doet er kennelijk bij alle partijen niet meer toe.
Steeds arroganter management hap tegenwoordig
en ze schamen zich ook nog eens nergens meer voor.
luntrus
ide een goed kant opgaat, te laten ontsporen.
Waarbij dus relevante info of een ter zake doende inhoudelijke discusie,
vaak snel moet worden gederailleerd of anderszins "afgeschoten".
Wie doen dit? Snel off-topic iemand aanvallen via iets uit het ongerijmde,
dat ie nooit in de mond genomen heeft.
Zo iemands geloofwaardigheid proberen in diskrediet te brengen.
Minkukel gedrag of AI-minkukel-bot-reacties?
Wat steekt hier achter en wie steken hier achter?
Zijn dit speciale disinfo agenten, die zo ongewenste info van het web moeten weghouden?
Zijn het misschien AI bots, die volgens vaste patronen draden dienen te ontregelen
als iets in hun algoritme "aanslaat"? Het werkt net zo ontregelend als content spam
en het is ook vaak als een vorm hiervan te beschouwen.
Bijvoorbeeld een keer MSM vermelden in een draad doet al een filter aanslaan, bekend iets,
en is door de sp**ks van Google en Facebook al zelf toegegeven.
Of is het gewoon een dommere en destructievere inslag,
die je bij sommige personen meer en meer aantreft tegenwoordig?
Herkennen anderen dit ook en welke verklaring(en) hebben ze hiervoor?
Ik vind het alleen maar zielig, maar wil het toch wel even vermelden.
Want zonde van erin gestoken energie.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
