Potentieel tientallen - en zelfs honderden - duizenden websites aangedreven door WordPress zijn kwetsbaar voor aanvallen via een remote code execution (RCE) bug in een veelgebruikte plug-in genaamd Essential Addons for Elementor.
De plug-in heeft wereldwijd meer dan 1 miljoen installaties en is ontworpen om website-eigenaren verschillende aanpassingen te laten toevoegen aan pagina's die zijn gebouwd met de Elementor-paginabuilder voor WordPress.
Een onafhankelijke beveiligingsonderzoeker ontdekte onlangs de fout in versies 5.0.4 en lager van Essential Addons for Elementor en rapporteerde het probleem aan de ontwikkelaar van de plug-in. De ontwikkelaar bracht vervolgens een bijgewerkte versie uit met een oplossing voor de kwetsbaarheid. Maar onderzoekers van PatchStack, een leverancier van beveiligingsplug-ins voor WordPress, testten de patch en ontdekten dat deze defect was. Ze rapporteerden het aan de ontwikkelaar en een andere versie - deze met een werkende oplossing - werd uitgebracht op 28 januari.
In een blogpost, PatchStack zei dat de kwetsbaarheid elke gebruiker - ongeacht hun authenticatie- of autorisatiestatus - een manier biedt om een zogenaamde lokale bestandsopname-aanval uit te voeren op een site met een kwetsbare versie van de Elementor-plug-in. De kwetsbaarheid kan worden misbruikt om lokale bestanden, zoals bestanden met schadelijke PHP-code, in het bestandssysteem van de website op te nemen, die vervolgens op afstand kunnen worden uitgevoerd.
Volgens PatchStack heeft de kwetsbaarheid te maken met de manier waarop de plug-in omgaat met gebruikersinvoergegevens wanneer bepaalde functies worden aangeroepen. Hierdoor manifesteert de kwetsbaarheid zich alleen als er widgets worden gebruikt die deze functies gebruiken.
Pravin Madhani, CEO en mede-oprichter van K2 Cyber Security, beschrijft aanvallen met lokale bestandsopname (LFI) als een techniek om een webtoepassing specifieke bestanden op een webserver te laten uitvoeren. "Normaal gesproken treedt LFI op wanneer een toepassing het pad naar een bestand als invoer gebruikt", zegt Madhani. "Als de toepassing deze invoer als vertrouwd beschouwt, kan een lokaal bestand worden gebruikt in de include-instructie."
Meer WordPress-beveiligingsproblemen
Voor exploitanten van WordPress-websites is de nieuwste fout slechts de laatste in een lange lijst met beveiligingsproblemen waarmee ze in de loop der jaren te maken hebben gehad. Veel van de problemen hadden te maken met plug-ins voor het platform. In januari bijvoorbeeld, een andere WordPress-beveiligingsleverancier, Wordfence, gerapporteerd ontdekken een kwetsbaarheid - dezelfde - in drie afzonderlijke plug-ins voor WordPress. Het probleem trof zo'n 84,000 websites.
In december hebben onderzoekers van JetPack meldde twee kwetsbaarheden - een geverifieerde privilege-escalatiebug (CVE-2021-25036) en een authenticatie-SQL-injectiebug (CVE-2021-25037) in een WordPress plug-in genaamd All in One SEO. De kwetsbaarheden troffen zo'n 3 miljoen websites toen ze voor het eerst werden onthuld. Nog een andere kwetsbaarheid die Wordfence onthuld in november, dit keer in een plug-in genaamd Starter Templates — Elementor, Gutenberg & Beaver Builder Templates, had invloed op zo'n 1 miljoen websites.
Organisaties kunnen hun blootstelling aan deze dreigingen verminderen door enkele best practices te implementeren, zegt Madhani.
Deze omvatten de noodzaak om WordPress-applicaties up-to-date en correct gepatcht te houden. Organisaties moeten ook alleen plug-ins bewaren die ze actief gebruiken en ervoor zorgen dat ook de plug-ins worden bijgewerkt en gepatcht. Het hebben van meerlagige beveiligingscontroles is ook van cruciaal belang, zegt hij.
Idealiter zou dit edge-beveiliging, runtime-applicatiebeveiliging en serverbeveiliging moeten omvatten, zegt hij. Als voorbeelden wijst hij op firewalls voor webapplicaties, beveiligingscontrole van runtime-applicaties en endpoint-detectie- en responstechnologieën.
"Blijf op de hoogte van de incidenten die door uw tools worden gemeld en volg regelmatig rapporten op, met name kritieke beveiligingsincidenten", adviseert Madhani. "Zorg voor goede wachtwoordregels en wachtwoordbeveiliging (zoals MFA) voor je WordPress-site."
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Bron: https://www.darkreading.com/vulnerabilities-threats/tens-of-thousands-of-websites-vulnerable-to-rce-flaw-in-wordpress-plugin
