image

Ruim 72.000 WordPress-sites kwetsbaar door lek in plug-in

dinsdag 18 februari 2020, 10:11 door Redactie, 14 reacties

Ruim 72.000 WordPress-sites zijn kwetsbaar door een beveiligingslek in een plug-in die ze gebruiken en waardoor een aanvaller zonder inloggegevens de database kan verwijderen om vervolgens als beheerder in te loggen. Het gaat om "ThemeGrill Demo Importer", een plug-in waarmee themes, content en widgets van het bedrijf ThemeGrill zijn te gebruiken.

Onderzoekers van WebArx ontdekten een kwetsbaarheid waarmee een ongeauthenticeerde aanvaller de gehele database naar de standaard staat kan resetten, waarna de aanvaller automatisch als admin wordt ingelogd. Een voorwaarde is wel dat een theme van ThemeGrill is geactiveerd. Om automatisch als beheerder te worden ingelogd moet er daarnaast een gebruiker met de naam "admin" in de database aanwezig zijn.

De kwetsbaarheid werd op 6 februari aan de ontwikkelaars van de plug-in gerapporteerd. Die kwamen op 15 februari met een beveiligingsupdate, herkenbaar aan het versienummer 1.6.2. De meeste websites die van de plug-in gebruikmaken zijn echter nog steeds kwetsbaar. Volgens cijfers van WordPress is de plug-in op meer dan 100.000 WordPress-sites actief. Sinds 15 februari is de nieuwste versie ruim 28.000 keer gedownload, wat inhoudt dat zeker 72.000 WordPress-sites risico lopen.

Mogelijk dat het aantal kwetsbare websites nog veel hoger ligt. De onderzoekers van WebArx claimen namelijk dat de plug-in op meer dan 200.000 WordPress-sites actief is, terwijl ThemeGrill stelt dat de themes door meer dan 300.000 websites worden gebruikt.

Reacties (14)
18-02-2020, 12:48 door Anoniem
Niet voor het eerst dat een thema Wordpress sites de das omdoet.
18-02-2020, 13:03 door souplost
Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
18-02-2020, 16:10 door karma4
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
18-02-2020, 17:04 door Anoniem
Door karma4:
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Gut, laat Wordpress en de plugin's nu opensource zijn, dus je gezeik over spaghetti software klopt niet, tenzij je opensource bedoeld, dan ben ik het volkomen met je eens.
18-02-2020, 17:18 door Anoniem
Bij ons werd vandaag een databank gewist door deze bug. Lijkt dus actief aangevallen te worden.
18-02-2020, 18:27 door Anoniem
Door Anoniem: Bij ons werd vandaag een databank gewist door deze bug. Lijkt dus actief aangevallen te worden.
DUS was er niet op tijd de update uitgevoerd!
18-02-2020, 22:09 door Anoniem
En wederom narigheid met dit op "wormendoos"-PHP (ja ook de geharde versie en die met een cheatsheet ernaast) gebaseerd CMS.

Word-Press vaak niet volledig ge-update qua core versie, plug-ins, met kwetsbare en afvoerbare JQuery bibliotheken,
(bootstrap kwetsbaarheden), met verkeerde configuratie settings qua "user enumeration" en "directory listing" op "enabled".

Nog meer kwetsbaarheid als best policies niet zijn gevolgd (security header settings e.a.) op de server.
Niemand lint en fuzzt en doet aan error-hunting. (Nu ja in bovenstaand artikel bij WebArx wel.
Meestal ontbreekt er bij developers en amateurs de tijd en kunde.).

Gevolg van beslissingnemers, die eerder gaan voor het ontwerp van een "gelikte" website, dan een wat veiliger site.

De rekening zit dan wel vaak onder in de zak via abuse van onderhavige soort kwetsbaarheden bij vooral plug-ins.
Weer kosten, die voor de baat uitgaan. Maar die er toe doen, tellen niet mee en die meetellen, hebben er vaak geen verstand van. En zo moddert men door van het ene incident naar het volgende en velen zal het worst wezen.

luntrus (een veeal roepende in de script-woestijnen)
18-02-2020, 22:49 door souplost - Bijgewerkt: 18-02-2020, 22:51
Door karma4:
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht. En nu? Ligt het aan de spaghetti code van het is?
18-02-2020, 23:09 door Anoniem
Door souplost:
Door karma4:
Door souplost: Dat hebben ze snel gefixt dan i.t.t de maandelijkse patchronde van veel grote bedrijven.
Edoch security van plugins blijft wel een dingetje.
Ben wel benieuwd wie die (Saas) servers te laat patchen of zijn het bedrijven of personen met hun eigen vps?
Toch wel verleidelijk dat het notoir lek is en aan de spaghetticode van het OS ligt.
En nee die patchronde kun je vergeten. Er is geen beheer want dat iemand anders toch wel gratis en voor niets.
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht. En nu? Ligt het aan de spaghetti code van het is?
Wat heeft het gebruik van Windows nu te maken met dit probleem. Met de patchronde wordt alleen Windowsonderdelen ge-updated!
19-02-2020, 06:21 door The FOSS - Bijgewerkt: 19-02-2020, 06:21
Door souplost: ...
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.

Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.
19-02-2020, 09:04 door Bitje-scheef
Door The FOSS:
Door souplost: ...
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.

Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.

Maar het is een plugin, die hoeft echt niet te wachten tot volgende maand. Sterker nog, kan gewoon nu.
Als je wacht is dat je eigen beslissing.
19-02-2020, 09:22 door The FOSS - Bijgewerkt: 19-02-2020, 09:36
Door Bitje-scheef:
Door The FOSS:
Door souplost: ...
Ben net bij een klant geweest. Daar draait het onder Windows. Wordt over een maand gepatcht.

Dat is het grote gevaar van die maandelijkse patch Tuesday. Dat men de procedures zo gaat inrichten dat kritische patches tussendoor installeren niet eens meer zomaar mogelijk is.

Maar het is een plugin, die hoeft echt niet te wachten tot volgende maand. Sterker nog, kan gewoon nu.
Als je wacht is dat je eigen beslissing.

Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.
19-02-2020, 16:52 door Anoniem
Door The FOSS:
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.

Het is belangrijk om voor dit soort patches en kwetsbaarheden ook de spoedprocedure uitgevoerd kan worden; het reguliere proces waarbij eerst alles gedocumenteerd en uitgezocht moet worden tot in detail kan wellicht te lang duren. De emergency change procedure is er niet voor niks.
19-02-2020, 20:33 door souplost
Door Anoniem:
Door The FOSS:
Dat klopt! Maar als de administratieve procedures rond patches uitrollen zodanig is dat men dat niet zomaar mag doen, dan moet er worden gewacht. Netjes de aanvraag doen, documenten op orde maken, een testplan maken, reviews, tests doen, af laten tekenen en uiteindelijk uitrollen. Allemaal netjes in het tijdsschema van de Patch Tuesday natuurlijk want anders wordt het te ad hoc en daar doet men liever niet aan.

Het is belangrijk om voor dit soort patches en kwetsbaarheden ook de spoedprocedure uitgevoerd kan worden; het reguliere proces waarbij eerst alles gedocumenteerd en uitgezocht moet worden tot in detail kan wellicht te lang duren. De emergency change procedure is er niet voor niks.
Waarom wordt die niet gebruikt dan? Liep er soms al een andere emergency change? Of wordt er niet op security gestuurd maar op geld? Feit is dat men realiseert dat het gebruik van Windows fors duurder wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.