WordPress-sites aangevallen via kwetsbaarheid in ProfilePress-plug-in
Een kwetsbaarheid in de ProfilePress-plug-in voor WordPress wordt actief gebruikt voor het aanvallen van kwetsbare websites. Via het beveiligingslek installeren aanvallers een backdoor en voegen code toe waardoor bezoekers automatisch worden doorgestuurd naar malafide websites.
ProfilePress, dat voorheen bekend stond als WP User Avatar, is een plug-in voor het registreren van gebruikers. Meer dan 400.000 WordPress-sites maken er gebruik van. Eind juni meldde securitybedrijf Wordfence dat er een kwetsbaarheid in de plug-in aanwezig is waardoor gebruikers zich als beheerder van de website kunnen registreren, ook bij websites waar de gebruikersregistratie is uitgeschakeld.
De ernst van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het probleem is in versie 3.1.4 van de plug-in verholpen. Securitybedrijf Sucuri meldt nu dat er actief misbruik van de kwetsbaarheid wordt gemaakt. Aanvallers gebruiken het beveiligingslek om een beheerdersaccount aan te maken en een backdoor toe te voegen. Vervolgens wordt er een zogenaamde plug-in geïnstalleerd die bezoekers van de website doorstuurt naar een scamsite.
Volgens cijfers van WordPress draaien zo'n 135.000 websites een 3.1.x-versie van de plug-in. De overige sites draaien oudere versies, maar die zijn voor zover bekend niet kwetsbaar. Er wordt in de cijfers echter niet aangegeven welke 3.1.x-versie er wordt gebruikt. Beheerders die van ProfilePress gebruikmaken wordt aangeraden om de laatste versie te installeren.
Ik kan me bijna geen plugin herinneren die niet lek was.. worden deze plugins door de NSA geschreven?
Ik kan me bijna geen plugin herinneren die niet lek was.. worden deze plugins door de NSA geschreven?
Maar bij PHP gedreven CMS is het toch wel iets erger, zeker bij de "knutselaars" onder de (veredelde) amateurs.
Scan maar eens bij hackertarget en bij magereport (voor magenta).
Word Press outdated, configuratiefouten, user enumeration op enabled laten staan, directory listing idem,
retirable bibliotheken niet afvoeren, onveilige connectie naar achterliggende server
en noem het riedeltje website development gebreken maar op.
Met van 150 tot soms 400 verbeteringen aan te geven (via online webhint).
Security as a last resort item. Ook een heleboel snake oil.
Maar ja het bovenstaande heb ik al tig keer gedeeld hier, het schiet maar niet op.
Duizenden en duizenden sites staan zowat op omvallen.
Ja, ook door kwetsbare en verouderde en verlaten plug-ins.
Zeker en vast.
Ze wachten slechts op een hack of malware artiest.
#sockpuppet
Die worden gemaakt door programmeurs, websitebouwers en misschien wel een neefje ergens in de straat die ook wat met php kan.
Er zijn natuurlijk wel regels voor het bouwen van plugins, maar dat er veel rommel tussen zit is niet heel vreemd.
Daarom altijd even kijken of de plugins geregeld ge-update worden, hoeveel installaties de plugin heeft en desnoods door wie die gemaakt is.
Die informatie staat er bewust bij iedere plugin.
Je zit erop kan er niet af , de core is niet goed : dat mag je maken wat je wil .
Je kan wel op elke gat iemand zetten met een emmer maar daar stop het.
Kan je zien als iets niet goed is ja de meeste code voor zichzelf spreekt en heel weinig of geen commentaar nodig heeft is een goed product.
Als je binnen enkele seconden kan zien wat dat deel doet of zal doen van een programma dan moet het je meer vertrouwen geven of als men iets tracht te verbergen (authentificatie wordt meestal wel een beetje weg gestopt.)
En snelheid in php als je 500ms ziet mag je denken dat het goed zit vanaf 1of 2 sec is er iets mis niet nootzakelijk de programatuur maar in de keten van website to client.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
