Tienduizend WordPress-sites kwetsbaar door kritiek lek in end-of-life plug-in
Meer dan tienduizend WordPress-sites lopen door een kritieke kwetsbaarheid in twee plug-ins, die niet meer worden ondersteund, het risico om door criminelen te worden overgenomen. Het gaat om de 'Malware Scanner' en 'Web Application Firewall' van een ontwikkelaar genaamd MiniOrange. De twee plug-ins zijn juist ontwikkeld om WordPress-sites tegen allerlei aanvallen en malware te beschermen.
De Malware Scanner draait op meer dan tienduizend websites, de Web Application Firewall is op driehonderd sites actief. Beide plug-ins bevatten dezelfde kwetsbaarheid waardoor een ongeauthenticeerde aanvaller het wachtwoord van gebruikers kan resetten. De enige voorwaarde is dat een aanvaller een geldige gebruikersnaam opgeeft. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Het probleem werd op 5 maart aan de ontwikkelaar van de plug-ins gerapporteerd. In plaats van een update te ontwikkelen besloot die met de plug-ins te stoppen. Vanwege de impact van de kwetsbaarheid en het ontbreken van een patch roept securitybedrijf Wordfence alle gebruikers op om de plug-ins meteen van hun website te verwijderen.
omdat die nu ook alle sites in real time scant?
Zou er een model te bedenken zijn waarbij plugins, of zelfs de gehele website, automatisch offline gehaald worden wanneer de houdbaarheidsdatum van de software is verlopen? Dan is er geen sprake van een 'op afstand uit te voeren actie', maar is het geheel deterministisch en voorspelbaar. Dat zou het gat vormen tussen automatische updates en End-of-Life software. Uiteraard met een opt-out voor organisaties die hier een handmatig proces voor opzetten. Die organisaties kunnen dan ook makkelijker aansprakelijk gehouden voor de gevolgen als het handmatige proces niet gevolgd wordt.
(zo te lezen niet, maar voor de zekerheid)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
