image

WordPress-sites aangevallen via lek in Nicdarkplug-ins en Bulk Uploader

maandag 26 augustus 2019, 11:59 door Redactie, 5 reacties

WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in plug-ins van ontwikkelaar Nicdark en een uitbreiding voor de Simple 301 Redirects-plug-in. Dat laat securitybedrijf Wordfence weten. Nicdark biedt vijf verschillende plug-ins voor WordPress waarmee websites onder andere donaties en reserveringen kunnen beheren. De plug-ins zijn volgens de ontwikkelaar meer dan 15.000 keer gedownload.

Uit cijfers van WordPress blijkt dat meer dan 6700 actieve websites van de plug-ins gebruikmaken. Hoewel het om vijf verschillende plug-ins gaat bevatten ze allemaal hetzelfde beveiligingslek waardoor een aanvaller zonder inloggegevens willekeurige WordPress-opties kan aanpassen. Zo is het bijvoorbeeld mogelijk voor een aanvaller om zichzelf als beheerder van de website te registreren.

Bij de waargenomen aanvallen wijzigen aanvallers alleen de site-url van de website, waardoor bezoekers automatisch naar malafide sites worden doorgestuurd of malafide content te zien krijgen. De kwetsbaarheden in de plug-ins zijn onlangs gepatcht, maar niet alle websites hebben de update geïnstalleerd. Hetzelfde geldt voor een uitbreiding van de Simple Redirects-plug-in.

Via Simple Redirects kunnen gebruikers requests eenvoudig naar een andere pagina op hun eigen site of het internet doorsturen. De "Simple 301 Redirects – Addon – Bulk Uploader" biedt de mogelijkheid om een csv-bestand met oude en nieuwe url's te uploaden die vervolgens als invoer door Simple Redirects worden gebruikt. Via de kwetsbaarheid kan een aanvaller zijn eigen redirect opgeven en bezoekers zo naar malafide sites doorsturen. Twee weken geleden verscheen er een update voor Bulk Uploader, die meer dan 10.000 actieve installaties heeft.

Reacties (5)
26-08-2019, 12:43 door Anoniem
Elke dag wel weer wat loos met plugins op WP.
Dan nog geen validatie of header security ingesteld.
301 redirects net als bij Spammybear malcreanten.
Gewoon omdat hosters niet oplettend zijn im de gratis fase.
De klant_amateurs ook niet overigens.
Dan wil de wereld bedrogen worden en dat gebeurt dan ook op
grote schaal. Bitcoin inkomsten gegarandeerd.
luntrus
27-08-2019, 09:23 door Krakatau - Bijgewerkt: 27-08-2019, 09:26
Het is zo'n gruwelijk hobbyistische omgeving, wat niet erg zou zijn als het alleen voor persoonlijke home pages gebruikt zou worden. Maar allerlei kleinere en grotere bedrijven en instanties vallen ook voor de zingende sirene van de Lorelei, die luidkeels de boodschap "goedkoop, gemakkelijk", verkondigt.
27-08-2019, 12:10 door Anoniem
@Krakatau,

Dat weten wij wel, goede vriend, maar ik zie hier niets, maar dan ook niets (in) veranderen.
Zij, die het weten, doen er niet toe en degenen, die er toe doen,
hebben er geen weet van of willen dat niet eens weten.

Ze geloven in de snelle PHP developer, die het wel eens eventjes voor hen inklopt
en niet alleen bij de persoonlijk homepage (die kunnen ook de rest infecteren overigens),
maar zelfs op grotere sites, waarvan je zou aannemen, dat het beter geregeld was
qua security (CSP validatie etc.).

Voorbeeldje: 461 issues bij linten: https://webhint.io/scanner/580897a2-f16a-4450-b334-671edb5591e7
en hierbij gaat het over een security platform site.
Oh, wat wrang een grote site op WordPress en niet volledig op orde
qua webserver software bij de hoster. Even "och & weh"roepen, dus.

retirable jQuery library: Retire.js
jquery 1.12.4 Gedecteerd op -https://www.helpnetsecurity.com/wp-includes/js/jquery/jquery.js?ver=1.12.4-wp
Vulnerability info:
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2015-9251 11974 parseHTML() executes scripts in event handlers
Medium CVE-2019-11358 jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution

Veel studenten die deze generator niet eens kennen (geldt ook voor docenten HS): https://s3.amazonaws.com/webappvui/skillcode/v2/index.html

groetjes,
luntrus
27-08-2019, 13:51 door Anoniem
Dat eeuwige geneuzel hier over de (on)veiligheid van WP.
Net als ieder ander stuk software/OS is het zo veilig als je zelf instelt. Lukraak (onveilige) plugins installeren is dom, net als rotzooi installeren op je Windows pc. Menig custom CMS van een (lokale) websiteboer is nog veel erger alleen daar hoor je niets van.
27-08-2019, 15:16 door Anoniem
Ja, je kunt het veilig instellen met meest recente core, thema, plug-ins ingesteld, user enumeration & directory listing disabled. Toch lukt dat bij meer dan zestig procent van de sites, die het draaien, toch niet.

Hoe zou dat nu toch komen, geneuzel?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.