Duizenden WordPress-sites over te nemen via lek in registratieplug-in

[Captain Kirk]

Duizenden WordPress-sites kunnen door een kwetsbaarheid in de registratieplug-in RegistrationMagic worden overgenomen, ook al is een beveiligingsupdate om het probleem te verhelpen beschikbaar. RegistrationMagic laat WordPress-sites webformulieren maken waarmee bezoekers zich op de website kunnen registreren. Tevens is het mogelijk om via de plug-in bulkmail te versturen. Meer dan 10.000 WordPress-sites maken gebruik van RegistrationMagic.

De plug-in laat gebruikers ook inloggen via derde partijen zoals Facebook. Dit was echter op een onveilige wijze geïmplementeerd waardoor aanvallers als elke willekeurige gebruiker kunnen inloggen, waaronder de beheerder. De enige vereiste is dat de aanvaller het e-mailadres of de gebruikersnaam van de beheerder kent en er een via de plug-in gemaakte inlogpagina beschikbaar is.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Het beveiligingslek werd op 16 september door securitybedrijf Wordfence aan de ontwikkelaars gemeld. Die lieten op 25 september weten dat het probleem was verholpen, maar dat bleek niet het geval te zijn. Op 1 november verscheen een gedeeltelijke oplossing, gevolgd door een volledige fix (versie 5.0.1.8) eind november. Van de tienduizend WordPress-sites draait echter veertig procent nog versie 4.6 of ouder en is daardoor kwetsbaar.

 

bron: https://www.security.nl

[Captain Kirk]

1,6 miljoen WordPress-sites doelwit van grootschalige aanval via plug-ins

Meer dan 1,6 miljoen WordPress-sites zijn het doelwit van een grootschalige aanval waarbij aanvallers de websites via kwetsbaarheden in verschillende plug-ins en themes proberen over te nemen. Het gaat om de plug-ins Kiwi Social Share, Pinterest Automatic, WordPress Automatic en PublishPress Capabilitie, waarvoor sinds respectievelijk 12 november 2018, 23 augustus 2021 en 6 december 2021 beveiligingsupdates beschikbaar zijn.

Tevens worden vijftien themes aangevallen die van het Epsilon Framework gebruikmaken. Voor veertien van deze themes zijn updates beschikbaar. Alleen in het geval van het NatureMag Lite-theme ontbreekt een update en wordt beheerders aangeraden het theme te verwijderen. Door middel van de kwetsbaarheden schakelen de aanvallers in dat gebruikers zich op de site kunnen registreren en standaard de rol van beheerder krijgen.

"Dit maakt het mogelijk voor aanvallers om zich op elke website als beheerder te registreren en effectief de site over te nemen", aldus Chloe Chamberland van Wordfence, het securitybedrijf dat de aanvallen waarnam. Aangezien het hier alleen gaat om WordPress-sites die Wordfence monitort, ligt het werkelijke aantal aangevallen websites mogelijk hoger.

Beheerders en webmasters die van de aangevallen themes en plug-ins gebruikmaken wordt aangeraden om de laatste versie te installeren. Daarnaast wordt geadviseerd om te controleren of er geen ongeautoriseerde gebruikersaccounts zijn aangemaakt.

 

bron: https://www.security.nl