image

WordPress-sites aangevallen via kwetsbaarheid in ProfilePress-plug-in

donderdag 22 juli 2021, 16:20 door Redactie, 6 reacties

Een kwetsbaarheid in de ProfilePress-plug-in voor WordPress wordt actief gebruikt voor het aanvallen van kwetsbare websites. Via het beveiligingslek installeren aanvallers een backdoor en voegen code toe waardoor bezoekers automatisch worden doorgestuurd naar malafide websites.

ProfilePress, dat voorheen bekend stond als WP User Avatar, is een plug-in voor het registreren van gebruikers. Meer dan 400.000 WordPress-sites maken er gebruik van. Eind juni meldde securitybedrijf Wordfence dat er een kwetsbaarheid in de plug-in aanwezig is waardoor gebruikers zich als beheerder van de website kunnen registreren, ook bij websites waar de gebruikersregistratie is uitgeschakeld.

De ernst van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het probleem is in versie 3.1.4 van de plug-in verholpen. Securitybedrijf Sucuri meldt nu dat er actief misbruik van de kwetsbaarheid wordt gemaakt. Aanvallers gebruiken het beveiligingslek om een beheerdersaccount aan te maken en een backdoor toe te voegen. Vervolgens wordt er een zogenaamde plug-in geïnstalleerd die bezoekers van de website doorstuurt naar een scamsite.

Volgens cijfers van WordPress draaien zo'n 135.000 websites een 3.1.x-versie van de plug-in. De overige sites draaien oudere versies, maar die zijn voor zover bekend niet kwetsbaar. Er wordt in de cijfers echter niet aangegeven welke 3.1.x-versie er wordt gebruikt. Beheerders die van ProfilePress gebruikmaken wordt aangeraden om de laatste versie te installeren.

Reacties (6)
22-07-2021, 17:00 door Anoniem
Zijn het plugins of virusdroppers?
Ik kan me bijna geen plugin herinneren die niet lek was.. worden deze plugins door de NSA geschreven?
22-07-2021, 21:29 door Anoniem
Door Anoniem: Zijn het plugins of virusdroppers?
Ik kan me bijna geen plugin herinneren die niet lek was.. worden deze plugins door de NSA geschreven?
Ik kan mij geen software in het algemeen herinneren dat nooit aanpassing en verbetering nodig heeft gehad.
23-07-2021, 22:23 door Anoniem
@ anoniem van 21:29 gister,

Maar bij PHP gedreven CMS is het toch wel iets erger, zeker bij de "knutselaars" onder de (veredelde) amateurs.
Scan maar eens bij hackertarget en bij magereport (voor magenta).

Word Press outdated, configuratiefouten, user enumeration op enabled laten staan, directory listing idem,
retirable bibliotheken niet afvoeren, onveilige connectie naar achterliggende server
en noem het riedeltje website development gebreken maar op.

Met van 150 tot soms 400 verbeteringen aan te geven (via online webhint).
Security as a last resort item. Ook een heleboel snake oil.
Maar ja het bovenstaande heb ik al tig keer gedeeld hier, het schiet maar niet op.

Duizenden en duizenden sites staan zowat op omvallen.
Ja, ook door kwetsbare en verouderde en verlaten plug-ins.
Zeker en vast.
Ze wachten slechts op een hack of malware artiest.

#sockpuppet
24-07-2021, 13:48 door WPbeveiligen
WordPress telt op dit moment 58.582 gratis plugins. Alleen al op Wordpress.org/plugins

Die worden gemaakt door programmeurs, websitebouwers en misschien wel een neefje ergens in de straat die ook wat met php kan.

Er zijn natuurlijk wel regels voor het bouwen van plugins, maar dat er veel rommel tussen zit is niet heel vreemd.

Daarom altijd even kijken of de plugins geregeld ge-update worden, hoeveel installaties de plugin heeft en desnoods door wie die gemaakt is.
Die informatie staat er bewust bij iedere plugin.
25-07-2021, 17:46 door Anoniem
Stel zelf de stand van zaken vast via PHPStan:
https://phpstan.org/

luntrus
28-07-2021, 12:15 door Anoniem
wordpress wordt het zinkend schip genoemt .
Je zit erop kan er niet af , de core is niet goed : dat mag je maken wat je wil .
Je kan wel op elke gat iemand zetten met een emmer maar daar stop het.

Kan je zien als iets niet goed is ja de meeste code voor zichzelf spreekt en heel weinig of geen commentaar nodig heeft is een goed product.

Als je binnen enkele seconden kan zien wat dat deel doet of zal doen van een programma dan moet het je meer vertrouwen geven of als men iets tracht te verbergen (authentificatie wordt meestal wel een beetje weg gestopt.)
En snelheid in php als je 500ms ziet mag je denken dat het goed zit vanaf 1of 2 sec is er iets mis niet nootzakelijk de programatuur maar in de keten van website to client.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.