Drie WordPress-plug-ins hebben deze maand nogal wat aandacht gekregen nadat onderzoekers er ernstige kwetsbaarheden in vonden - en de cijfers zijn ontnuchterend, in dat deze plug-ins zijn geïnstalleerd op meer dan 400, 000 websites - met gebruikers die te wijd open staan ​​om cyberaanvallen te negeren.

De drie plug-ins in de schijnwerpers waren InfiniteWP, WP Tijdcapsule, en WP Database Reset-plug-ins.

ZDNet was een van de tech-watching-sites om lezers tot actie aan te sporen:"Als u deze plug-ins gebruikt, moet u onmiddellijk updaten omdat firewall-beveiliging niet werkt."

HotHardware 's Brittany Goetting bood wat meer grimmige cijfers aan. Er zijn meer dan 50, 000 plug-ins om rond te gaan en niet allemaal zijn gelijk gemaakt, zij schreef.

Van de drie in de schijnwerpers, men kan net zo goed beginnen met de kwetsbaarheid voor het omzeilen van authenticatie in de InfiniteWP Client. Naakte beveiliging beschreef het als een tool waarmee beheerders meerdere WordPress-sites vanuit dezelfde interface kunnen beheren.

Beheerders die toezicht houden op sites gebruiken InfiniteWP Client.

Minstens 300, 000 van de sites kunnen getroffen zijn door de kwetsbaarheid, zei Götting.

De plug-in, het was gevonden, bepaalde autorisatiecontroles ontbraken. "Je bent kwetsbaar als je InfiniteWP Client-versies tot 1.9.4.4 gebruikt, en als gevolg daarvan moeten gebruikers van de plug-in hun sites zo snel mogelijk updaten naar versie 1.9.4.5, " zij schreef.

De Wordfence-blog (Wordfence is een product van een bedrijf genaamd Defiant) zei dat dit een kritieke authenticatiekwetsbaarheid was. "Vanochtend is een proof of concept gepubliceerd, 14 januari 2020. Als u InfiniteWP-clientversie 1.9.4.4 of eerder gebruikt, raden we u aan uw installatie onmiddellijk bij te werken om uw site te beschermen."

Dan Goodin in Ars Technica beschreef ook de ernst van de authenticatie-bypass-kwetsbaarheid in de InfiniteWP Client-plug-in.

"Het stelt beheerders in staat om meerdere websites vanaf een enkele server te beheren. Door de fout kan iedereen inloggen op een beheerdersaccount zonder enige inloggegevens. aanvallers kunnen inhoud verwijderen, nieuwe accounts toevoegen, en het uitvoeren van een breed scala aan andere kwaadaardige taken."

Beveiligingsbedrijf WebARX meldde InfiniteWP Client, en nog een kwetsbaarheid, WP Tijdcapsule.

De WP Time Capsule is ontworpen om het maken van back-ups van websitegegevens eenvoudiger te maken.

Ars Technica meldde dat de bug was opgelost in versie 1.21.16. "Sites met eerdere versies zouden meteen moeten worden bijgewerkt. Webbeveiligingsbedrijf WebARX heeft meer details." zei Ars .

ZDNet sprak over WP Time Capsule; Charlie Osborne in ZDNet zei dat WP Time Capsule minstens 20 actief was, 000 domeinen, volgens de WordPress-plug-insbibliotheek.

De plug-in WP Database Reset kreeg veel aandacht, met bijna 80 000 sites die de plug-in gebruiken, waarmee gebruikers hun databases of delen van databases kunnen resetten naar hun standaardinstellingen.

Wordfence:"Op 7 januari ons Threat Intelligence-team ontdekte kwetsbaarheden in WP Database Reset, een WordPress-plug-in geïnstalleerd op meer dan 80, 000 websites. Een van deze fouten stelde elke niet-geverifieerde gebruiker in staat om elke tabel uit de database te resetten naar de oorspronkelijke WordPress-configuratie, terwijl de andere fout elke geverifieerde gebruiker toestond, zelfs degenen met minimale machtigingen, de mogelijkheid om hun account beheerdersrechten te verlenen terwijl ze met een eenvoudig verzoek alle andere gebruikers van de tafel verwijderen."

De plug-in bevatte aanvankelijk niet de juiste beveiligingscontroles. "Een kwetsbaarheid stelde aanvallers in staat om elke tabel opnieuw in te stellen en een verlies van gegevensbeschikbaarheid te veroorzaken, " schreef Goetting. "Een andere kwetsbaarheid stelde elke abonnee in staat om de volledige controle over de website te krijgen en alle beheerders eruit te schoppen. Beide fouten zijn gelukkig verholpen met versie 3.15. Natuurlijk moedigen de beveiligingsonderzoekers gebruikers ook aan om altijd een back-up van hun sites te maken."

Sergiu Gartlan voor BleepingComputer besteedde ook aandacht aan die bevinding. "Kritieke bugs gevonden in de WordPress Database Reset-plug-in ... stellen aanvallers in staat om alle gebruikers te laten vallen en automatisch te worden verheven tot een beheerdersrol en om elke tabel in de database opnieuw in te stellen."

De Wordfence-blog gaf dit advies, aangezien deze werden beschouwd als kritieke beveiligingsproblemen die een volledige site-reset en/of overname zouden kunnen veroorzaken. "We raden ten zeerste aan om onmiddellijk naar de nieuwste versie (3.15) te updaten."

Wat deed Ars Technica concluderen over de drie plug-ins, OneindigeWP, WP Tijdcapsule, en WP Database Reset? Ze hadden weinig woorden en deze kwamen gemakkelijk:"Het is tijd om te patchen."

De opmerkingen van lezers in Ars probeerden de oorzaak van de problemen te achterhalen. "Het probleem, " zei een lezer, "is wanneer sitebeheerders 10 installeren, 000 plug-ins, die elk een nieuwe aanvalsvector worden."

Waar hebben gebruikers dat eerder gehoord? Computer Business Review , terug in juni, verklaarde dat "WordPress-plug-ins algemeen worden beschouwd als een van de grootste beveiligingsbedreigingen voor WordPress-gebruikers."

Er is geen bewijs dat een van de drie kwetsbare plug-ins actief in het wild wordt uitgebuit, zei Goodin.

© 2020 Wetenschap X Netwerk