Veel WordPress-websites die gevaar lopen, worden blootgesteld aan een kritieke kwetsbaarheid in de WordPress-beveiligingsplug-in, wat leidt tot ongeautoriseerde beheerderstoegang. Deze fout in de authenticatieomzeiling is gevonden in de Echt eenvoudige beveiliging onderstreept hoe urgent actie vereist is van site-eigenaren.
De echt eenvoudige beveiliging plug-in heeft een bedreigingsscore van 9,8 op 10wat aangeeft hoe gemakkelijk het is om dit beveiligingslek te misbruiken. Aanvallers hebben inlogtoegang tot websites zoals iedere gebruiker, dat wil zeggen gebruikers met beheerdersrechten. Deze fouten worden gecategoriseerd als niet-geauthenticeerde toegangskwetsbaarheden en zijn vooral zorgwekkend omdat voor misbruik geen kennis van de inloggegevens van een gebruiker vereist is.
Het risico op ongeoorloofde toegang neemt toe door de kwetsbaarheid van WordPress-plug-ins
Dit betekent dat niet-geverifieerde aanvallers zonder gebruikersnaam en wachtwoord toegang kunnen krijgen tot beperkte gebieden op een site. Het probleem doet zich met name voor in versies 9.0.0 tot 9.1.1.1 van de plug-in vanwege een gebrek aan goede foutafhandeling voor gebruikersvalidatie in de twee-factor REST API-acties. Raad eens wat, volgens Woordomheining onderzoekers, of u nu tweefactorauthenticatie hebt ingeschakeld of niet, dit beveiligingslek kan worden misbruikt.
Binnen 24 uur ontving Wordfence een melding dat het meer dan 310 aanvallen blokkeerde die gericht waren op deze specifieke zwakte. Het is al ruimschoots geïnstalleerd 4 miljoen sitesdus er is een groot risico voor degenen die zich niet hebben voorbereid om hun plug-ins up-to-date te houden. Omdat de kwetsbaarheid scriptbaar is, is het risico op massale uitbuiting groot en is de snelle inzet van potentieel kwaadaardige activiteiten eveneens groot.
Voordat deze fout bekend werd gemaakt, hadden de ontwikkelaars van deze fout een week voorsprong om een patch in hun 9.1.2-versie. De changelog van deze nieuwste versie vermeldt expliciet het adres van het probleem met het omzeilen van de authenticatie. Dit is de eerste officiële WordPress-plug-in die met mij samenwerkte om reactief versie-bump-aankondigingen naar de websites met de kwetsbare versies te sturen vóór de openbare aankondiging van de FLAW om de laatste kans te geven om deze proactief bij te werken.
Patchdetails en reacties van de community
Dit is niet de eerste keer dat we horen over kwetsbaarheden in WordPress; het zal zeker niet de laatste zijn. Toch kunnen we zeggen dat dit beveiligingsprobleem relatief nauw volgt nadat een ander kritiek beveiligingsprobleem voor het WPLMS Learning Management System werd ontdekt. Ter verduidelijking: de Real Simple Security-fout werkt met zowel de gratis als de premium-versie, dus iedereen moet nu de beveiliging van zijn site doorzoeken.
De analyse van Wordfence laat zien hoe de kwetsbaarheid voortkomt uit een specifieke functie genaamd “check_login_and_get_user.” Het toezicht betekent dat een aanvaller eenvoudigweg een speciaal vervaardigd verzoek kan indienen om in te loggen op een bestaand gebruikersaccount, inclusief het beheerdersaccount. Deskundigen waarschuwen dat de activiteit mogelijk kwaadaardige gevolgen heeft, zoals het stelen van een website van de daders en verdere kwaadaardige acties.
Vanwege deze zeer kritieke kwetsbaarheid raden we iedereen die de plug-in Real Simple Security gebruikt aan om versie 9.1.2 onmiddellijk of later bij te werken. De bescherming tegen dergelijke kwetsbaarheden is het up-to-date houden van beveiligingsplug-ins naar de nieuwste versies. Met de alarmerend hoge installaties kunnen de gevolgen van nietsdoen zeer slecht zijn voor duizenden en duizenden website-eigenaren die de benodigde updates niet toepassen.
Beveiligingsexperts betreuren echter opnieuw dat we een gelaagde beveiligingsaanpak moeten hanteren. Elke sitebeheerder moet regelmatig back-ups, sterke wachtwoorden en uitgebreide beveiligingsscans uitvoeren om de situatie te verhelpen, afgezien van het updaten van plug-ins.
Afbeeldingen tegoed: Furkan Demirkaya/Ideogram
Het bericht WordPress-kwetsbaarheid bedreigt meer dan 4 miljoen websites verscheen voor het eerst op TechBriefly.
Source: De kwetsbaarheid van WordPress bedreigt meer dan 4 miljoen websites