image

WordPress verwijdert plug-in met 100.000 installaties wegens lek

vrijdag 3 april 2020, 10:17 door Redactie, 10 reacties

WordPress heeft een plug-in met meer dan 100.000 installaties wegens een beveiligingslek van de eigen downloadpagina verwijderd en adviseert beheerders van WordPress-sites hetzelfde te doen. De ontwikkelaar van de plug-in heeft namelijk aangegeven dat de kwetsbaarheid, waardoor websites in het ergste geval kunnen worden overgenomen, niet zal worden gepatcht.

Het gaat om de plug-in met de naam "Contact Form 7 Datepicker", die weer een uitbreiding van de plug-in "Contact Form 7" is. Via Contact Form 7 is het mogelijk voor WordPress-sites om meerdere contactformulieren te beheren. Met de Datepickerplug-in kunnen er datumkiezers aan het contactformulier worden toegevoegd. De plug-in is kwetsbaar voor cross-site scripting waardoor het mogelijk is om de sessie van de beheerder te stelen of een kwaadaardige beheerder toe te voegen.

Het beveiligingslek werd ontdekt door securitybedrijf Wordfence. De plug-in wordt echter niet meer door de ontwikkelaar onderhouden. Daarop waarschuwden de onderzoekers WordPress, dat de plug-in van de downloadpagina verwijderde. Beheerders van WordPress-sites krijgen hetzelfde advies.

Reacties (10)
03-04-2020, 11:27 door Anoniem
WordPress de op PHP gebaseerde CMS, die steeds weer in het nieuws komt met verkeerd geconfigureerde settings,
lekke en/of verlaten plug-ins en verdere af te voeren code. Veelal niet voldoende van updates voorzien en met oude versies gedraaid. Men heeft liever een gelikte dan een veilige(r) website en dan krijg je ook wat je verdient.
Alleen jammer voor de bezoekers die zulke websites bezoeken en geinfecteerd raken.

Dus scannen lui. Hier: https://hackertarget.com/wordpress-security-scan/

Meten is weten, scannen betekent niet langer meer ontkennen.

luntrus
03-04-2020, 17:13 door Anoniem
Door Anoniem: WordPress de op PHP gebaseerde CMS, die steeds weer in het nieuws komt met verkeerd geconfigureerde settings,
lekke en/of verlaten plug-ins en verdere af te voeren code. Veelal niet voldoende van updates voorzien en met oude versies gedraaid. Men heeft liever een gelikte dan een veilige(r) website en dan krijg je ook wat je verdient.
Alleen jammer voor de bezoekers die zulke websites bezoeken en geinfecteerd raken.

Dus scannen lui. Hier: https://hackertarget.com/wordpress-security-scan/

Meten is weten, scannen betekent niet langer meer ontkennen.

luntrus
Dank je Luntrus, deze scanner kende ik nog niet.
03-04-2020, 17:57 door Anoniem
Goh, net mijn simpele prive website onder wordpress getest, alles up to date en veilig volgens de opgegeven link.
Wordpress hoeft geen probleem te zijn, bijhouden net als alle andere software en besturingssystemen.
Dat afgeven op dit programma lijkt steeds meer een elitair statement te zijn.
03-04-2020, 18:27 door AndreUitSittard
@luntrus,

Vrijwel alle applicaties, of het nu om plugins voor Wordpress gaat, Magento, Windows, noem het maar op, vertonen met regelmaat van de klok lekken en daarvoor worden patches geschreven, dus wat betreft kraam je complete onzin uit.

Tevens beweer je dat een gelikt website niet veilig zou kunnen zijn en dat is wederom complete onzin.

Dat bezoekers geïnfecteerd raken is wederom complete onzin.

Als we dan toch lekker dom aan het doen zijn, dan heb ik nog een leuke uitspraak voor je:
"Als jij een product aanprijst op basis van complete onzin, dan zal het product ook weinig voorstellen."

Stay safe!
03-04-2020, 22:04 door Anoniem
Door Anoniem: WordPress de op PHP gebaseerde CMS, die steeds weer in het nieuws komt met verkeerd geconfigureerde settings,
lekke en/of verlaten plug-ins en verdere af te voeren code. Veelal niet voldoende van updates voorzien en met oude versies gedraaid. Men heeft liever een gelikte dan een veilige(r) website en dan krijg je ook wat je verdient.
Alleen jammer voor de bezoekers die zulke websites bezoeken en geinfecteerd raken.

Dus scannen lui. Hier: https://hackertarget.com/wordpress-security-scan/

Meten is weten, scannen betekent niet langer meer ontkennen.

luntrus

Deze scanner herkent niet veel. Het herkent nul plugins en het denkt dat wordpress in de root van het HTML pad staat, wat uiteraard niet zo is, want dan zou je het voor scannende hackers het veel te makkelijk maken.

De simpelste regel in security: zet je spullen op een niet-standaard plek neer. Er zijn natuurlijk meer regels, maar dit is een heel effectieve.
04-04-2020, 01:10 door Anoniem
Er zijn wel degelijk onveilige Word Press sites, veelal ook daarbij onveilig voor de site-owners, waar user enumeration op enabled staat en directory listing idem dito. Ook is er sprake van vele onveilige plug-ins (zoals in dit geval niet meer door developers onderhouden plug-ins), en niet afgevoerde onveilige jQuery bibliotheken.

Ook is er nog sprake van onveilig of verouderd PHP in het samenspel van client en webserver. Verder geen best policies qua header security, nog flink wat http-only sites of met mixed content, enz. Excessieve server info proliferatie nog steeds "gefundenes Fressen" voor malcreanten, doe maar eens een shodannetje en een magereport scan.

De minderheid van de "gelikte"en veilige sites niet te na gesproken, maar een flink gedeelte blijkt steeds op veiligheidsgebied qua onderhoud "under par" te presteren. Na 14 jaar 3rd party cold recon scanning durf ik dit wel te zeggen. In mindere mate geldt dit ook voor Magento en in mindere mate bij Drupal.

De kernel software wordt in de meeste gevallen en daar ben ik het met je eens wel goed onderhouden, maar met name plug-ins geven nog wel eens problemen. Als je dat onzin noemt, is dat voor jouw verantwoording., Ik wou dat het waar was,
vooral bij de sites onderhouden door "amateurs". Alles wat nog net niet als malware gedetecteerd wordt, betekent nog niet dat het in veiligheidsopzichten optimaal draait. In denial mode gaan helpt dan niet om de rest mee veiliger te krijgen.

luntrus
04-04-2020, 08:15 door Krakatau - Bijgewerkt: 04-04-2020, 08:15
Door AndreUitSittard: @luntrus,

Vrijwel alle applicaties, of het nu om plugins voor Wordpress gaat, Magento, Windows, noem het maar op, vertonen met regelmaat van de klok lekken en daarvoor worden patches geschreven, dus wat betreft kraam je complete onzin uit.

Op PHP-stacks gebaseerde applicaties zijn notoir onveilig want PHP is en blijft een hobbyprogrammeertaaltje, een bij elkaar geraapt zooitje, broddelwerk. Daarin heeft luntrus gewoon gelijk en kraamt dus zeker geen complete onzin uit.

Door AndreUitSittard:Tevens beweer je dat een gelikt website niet veilig zou kunnen zijn en dat is wederom complete onzin.

Hoe gelikte de website hoe meer er van allerlei hulpsoftware (vnl. JavaScript) gebruik wordt gemaakt. Waarmee de kans op beveiligingsproblemen toeneemt. Dat had je toch zelf ook wel kunnen bedenken? Wederom heeft luntrus gewoon gelijk!

Door AndreUitSittard:Dat bezoekers geïnfecteerd raken is wederom complete onzin.

Als we dan toch lekker dom aan het doen zijn, dan heb ik nog een leuke uitspraak voor je:
"Als jij een product aanprijst op basis van complete onzin, dan zal het product ook weinig voorstellen."

Stay safe!

Als websites kunnen worden overgenomen dan kan degene die dat doet (de hacker) eender welke content aan de gebruiker aanbieden. Dat kan dus ook content zijn die de bezoeker besmet. Wederom heeft luntrus gewoon gelijk.
04-04-2020, 16:01 door Anoniem
De genoemde scanner is voor gratis gebruikers enkel aan het scannen op html pagina's en ook niet alle. Voor alle andere zaken (waar in geval van wordpress de problemen in schuilen) moet je betalen.

Er zijn genoeg andere scanners die dit wel gratis doen en simpelweg geld vragen voor actieve scans of consultatie.
Een van de bekendste is https://sitecheck.sucuri.net/ de makers van onder andere WordFence die dit lek gemeld heeft.
Als je wilt betalen voor hun service om die scan te doen prima natuurlijk maar in de gratis vorm is de scan bijna niks waard aan informatie en creeer je heel snel vals gevoel van veiligheid.

Code injecties binnen Wordpress zijn zelden via html gaat veel vaker om string aanpassing in de php files of binnen de database.
Als je injectie in je bestanden vermoedt kun je heel makkelijk scannen via terminal door te zoeken naar string in de headers van bestanden bijvoorbeeld door volgende commando draaien in de root van je site.
find ./ -iname '*.php' | xargs head -v -n 1 | grep -B 1 '<?php'
Beste om het door te zetten naar een lijst via bijvoorbeeld > log.txt

Ingeval van versleutelde strings zul je dieper moeten duiken en gebruik maken van iets als https://github.com/scr34m/php-malware-scanner

Maar de meer simpele hacks kun je binnen enkele minuten met genoemde commando vinden. Vervolgens doe je een string aanpassing voor alle aangepaste bestanden die niet van Wordpress zijn vervangt je Wordpress core herinstalleert je thema en test of plug-ins nog werken.

Als je dit commercieel doet beter natuurlijk om gespecialiseerde software of diensten te gebruiken maar bovenstaande is simpele eerste controle methode voor gene die hobby matig Wordpress gebruiken of waar organisatie geen geld kan spenderen aan duren software.

Voorkomen is beter dan genezen soms niet mogelijk maar in praktijk is het 9 van 10 keer slecht onderhoud. PHP is niet inherent slechter dan reeks andere talen het is de implementatie waar het omgaat het draait om de modules die je aan hebt en hoe netjes de code geschreven is. Of je nu asp.net gebruikt perl c++ etc maakt weinig uit als je implementatie niet op orde is heb je zelfde mogelijkheid tot ellende. Enkel als een taal een programmeur dwingt een bepaalde opbouw te gebruiken zou je kunnen spreken van veiligere taal dan de meeste Maar dan nog kan er iets in zitten wat kwestbaar is waar niemand tijdens het schrijven van af wist en heel vaak zijn die talen van beperkte nut en kun je ze niet implementeren voor je service.

Hoe populairder een taal hoe meer developers en dat betekend ook vele rotte appels, slecht opgeleide en developers die geen zin meer hebben in het ondersteunen van hun code. Het genoemde lek zat er al 3 jaar in de plugin is een van de duizenden waar meeste nog nooit gehoord van hebben en als men de reviews had gelezen had de beheerder ook geweten dat er alleen maar redflags zichtbaar waren.

De enige vraag die ik heb was dit nu echt iets nieuwswaardig of zitten we in een komkommertijd?
Want anders kan men mischien ook even voor onderstaande een bericht aanmaken van deze maand.

WP Last Modified Info < 1.6.6 - Authenticated Stored XSS
Art-Picture-Gallery <= 1.2.9 - Unauthenticated Arbitrary ...
WP Advanced Search <= 3.3.5 - Unauthenticated SQL Injection
Login by Auth0 < 4.0.0 - Multiple Vulnerabilities
LearnDash < 3.1.6 - Unauthenticated SQL Injection
04-04-2020, 18:14 door Anoniem
Waar we ons dus toe richten zijn met name de "achteloze" knutselaars.
Niet degenen, die al van de hoed en de rand weten, maar ook zij worden van tijd tot tijd weer verrast.

Draaien met die Retire.js extensie of developers tools en een Javascript Errors Notifier of vulners extensie?

En dan moeten we steeds twee zaken in de gaten houden, de onveiligheid via websites
en de onveiligheid en kwetsbaarheden daar waar deze websites gehost worden
(View Host details via shodan.io of dazzlepod of netcraft site report).

Ga eens in gesprek met de maker van Retire.JS erlend oftedal, die ook de volgende online scanner biedt:
https://retire.insecurity.today/ en doe vervolgens ook eens een scan naar DOM-XSS sinks en sources.
Zie: https://domstorm.skepticfx.com/modules?id=529bbe6e125fac0000000003

Ook een scan hier kan een eye-opener zijn, waar retirable javascript bibliotheken worden gedetecteerd met SNYK:
https://webhint.io/scanner/ en nog veel meer onder het hoofdstuk security van deze linting optimaliseerhint scan.

Scan ook eens met Recx security analyser op header insecurity en met een CSP evaluator scannetje hier:
https://csp-evaluator.withgoogle.com/

luntrus
08-04-2020, 03:39 door Anoniem
Op PHP-stacks gebaseerde applicaties zijn notoir onveilig want PHP is en blijft een hobbyprogrammeertaaltje, een bij elkaar geraapt zooitje, broddelwerk.
Natuurlijk. Behalve dan dat 90% van de wereld in php zit te werken op websites. Als dat voor applicaties geldt dan geldt dat ook voor websites.
Of wat vind jij dan wel notoir veilig? Alleen maar HTML gebruiken? LoL, handig. Ben benieuwd hoe je dan zonder php een verbinding met een database wilt op gaan zetten....
En kom dan a.u.b. niet met .NET geneuzel aanzetten voor websites.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.