image

Akamai meldt actief misbruik van XSS-lek in WordPress Custom Fields plug-in

maandag 15 mei 2023, 10:00 door Redactie, 7 reacties

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen.

Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren.

Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait.

Reacties (7)
15-05-2023, 10:22 door Anoniem
Hoe veel Wordpress kwetsbaarheden maakt dat nu al deze maand?

Gewoon geen WordPress gebruiken... :)
15-05-2023, 11:54 door Anoniem
Maak het maar wat breder naar alle php gerelateerd CMS. Joomla, Magento incluis.

Feitelijk gaat het hier om PHP gerelateerde CMS in handen van lieden,
die de noodzaak van goed website onderhoud en -beveiliging volgens best policies niet voldoende inzien.

Dan kun je dus wachten op deze narigheid, cybercriminelen wachten slechts in de digitale schaduw.
Ken je dat liedje nog van de Stones?

Is de site goed geconfigureerd en onderhouden, fully updated and patched, geen probleem,
zeker niet als die zo in de cloud gehangen is.

Maar ja verkeerde zuinigheid van de chef, die er die risico's pas van inziet bij of na een incident.
Beknibbelen op veiligheid en liever eindgebruikers in gevaar brengen en uiteindelijk de eigen toko.

Het zou verboden moeten worden, maar dat is het helaas niet.

Let-op-Beun-de-Haas
15-05-2023, 12:00 door Anoniem
Door Anoniem: Hoe veel Wordpress kwetsbaarheden maakt dat nu al deze maand?

Gewoon geen WordPress gebruiken... :)


Lekker WordPress bashen, terwijl het duidelijk aan de plug-ins ligt. :-(
15-05-2023, 12:35 door Anoniem
Door Anoniem: Hoe veel Wordpress kwetsbaarheden maakt dat nu al deze maand?

Gewoon geen WordPress gebruiken... :)
Maakt dat uit? Het gaat om plugin kwetsbaarheid dat had elk populaire CMS kunnen zijn sinds geen enkele code audits uitvoert voor ze ge-intregeerd mogen worden. Het is niet zoals het UNIX tijdperk een closed development cycle waarin men streng aan voorwaarde werdt gehouden *helaas* Wordpress Core zelf is zelden iets mee zelfde met Magento en Joomla etc het is bijna altijd plugin gezeik.


Een patch binnen twee dagen is daarnaast zeer netjes.Wat niet netjes is dat één dag na de patch is vrijgegeven Patchstack met een PoC kwam. Één dag voor patchen is een rushjob voor meeste zaken als je niet blindelings een patch doorvoert dat is. Test omgeving maken functionaliteiten controleren vervolgens terug zetten naar live. Hadden ze een een weekje gewacht met de PoC dan was de impact lager geweest. Zeker omdat er voor de PoC geen indicatie was dat er attacks in the wild waren.Patchstack heeft het de criminelen dus makkelijk gemaakt.


Dan nog hebben we ook te maken met simpelweg lakse beheerders als we kijken naar de statistics van ACF 6.1 serie 31,5% en ACF 6.00, 20,4 % houdt in dat 48,1% naar verwachting geen actie gaat ondernemen. Kortom ga maar uit van ongeveer 1 miljoen kwetsbare sites die dat nog wel even blijven.
15-05-2023, 12:47 door Anoniem
Door Anoniem: Hoe veel Wordpress kwetsbaarheden maakt dat nu al deze maand?

Gewoon geen WordPress gebruiken... :)

WordPress plugins**

En overigens zij dit eigenlijk dingen waar je blij mee moet zijn. Deze worden bij een standaard instalatie gewoom automatisch geupdate. Hey grootste probleem zit hem in plugins die unmaintained zijn en developers die denken dat automatiche update uit moeten staan.
15-05-2023, 12:54 door Anoniem
Door Anoniem: Hoe veel Wordpress kwetsbaarheden maakt dat nu al deze maand?

Gewoon geen WordPress gebruiken... :)
Nee, geen plug-ins gebruiken. Telkens blijk de kwetsbaarheid niet in WordPress te zitten maar in de plug-ins.
15-05-2023, 13:15 door Anoniem
Door Anoniem: Hoe veel Wordpress kwetsbaarheden maakt dat nu al deze maand?

Gewoon geen WordPress gebruiken... :)
GEEN enkele, het zijn problemen met de plugin' s. Jammer dat je reageert, zonder het verschil te kennen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.