image

WordPress WooCommerce-webwinkels aangevallen via lek in kortingsplug-in

zondag 23 augustus 2020, 10:46 door Redactie, 1 reacties

Webwinkels die zijn gebaseerd op WordPress WooCommerce en gebruikmaken van de kortingsplug-in "Discount Rules" worden op het moment actief aangevallen. Ruim 22.000 webshops zijn kwetsbaar en lopen risico doordat een beschikbare beveiligingsupdate nog niet is geïnstalleerd. De aanvallers maken misbruik van kwetsbaarheden waardoor een aanvaller in het ergste geval de webwinkel kan overnemen.

Discount Rules laat webwinkels allerlei soorten kortingen voor de producten en bestellingen in hun webshop instellen, alsmede op klantniveau. Meer dan dertigduizend webwinkels maken gebruik van de plug-in. Onderzoekers ontdekten dat Discount Rules verschillende kwetsbaarheden bevat, zoals SQL-injection en unauthenticated stored cross-site scripting. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller gegevens van klanten opvragen, alle kortingscodes bemachtigen, voor alle klanten kortingscodes instellen of gegevens van de beheerder stelen om zo de website over te nemen.

Onderzoekers van securitybedrijf WebArx ontdekten de problemen en waarschuwden de ontwikkelaars van Discount Rules op 7 augustus. Die kwamen op 13 augustus met een beveiligingsupdate (versie 2.1.0). Een week later publiceerde WebArx de details over de kwetsbaarheid. De volgende dag meldde het securitybedrijf dat webwinkels die van de plug-in gebruikmaken actief worden aangevallen. Volgens cijfers van WordPress is versie 2.1.x door 26 procent van de webwinkels geïnstalleerd. Dat houdt in dat ruim 22.000 webwinkels nog kwetsbaar zijn en risico lopen.

Reacties (1)
23-08-2020, 11:45 door Anoniem
"De volgende dag meldde het securitybedrijf..."

echt... binnen een week een fix geschreven, en dan 22.000 webshops maar een week geven om te patchen, in de vakantie-periode? ze hadden ook een maand kunnen wachten, ik vermoed dat daar een paarse broek heeft zitten glimmen van trots, en gewoon niet kon wachten.

Alternatief was dat ze de exploit zelf behouden, de grotere bedrijven aanschrijven, wijzen op ongepatched, hun diensten aanbieden en als de klant lauw reageert, vragen of er toestemming is om het gevaar te demonstreren, en dan geld verdienen met diensten.

Maar ja, dat is meer een technische aanpak, die de naam van je bedrijf niet meteen in heel Google pompt, en waar je als marketing directeur geen bonus voor binnenhaalt.
...je bedrijf verdient er verder wel flink, en terecht aan, maar dat is voor het mannetje blijkbaar minder relevant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.