Een WordPress-plug-in genaamd 'ThemeGrill Demo Importer' stelde 200.000 websites bloot aan hackers
Content Management Systemen (CMS) zoals WordPress hebben het proces van het maken en onderhouden van een website volledig veranderd. Op dit moment kan het bouwen van een website net zo eenvoudig zijn als het opzetten van een WordPress-installatie en het toevoegen van wat inhoud. De mensen die ooit hele sites helemaal opnieuw hebben geschreven, maken nu CMS-thema's en plug-ins waarmee u uw eigen website kunt aanpassen en aanpassen met niet meer dan een paar muisklikken. Het is veel handiger en, nog belangrijker, een stuk goedkoper dan vroeger. Er is echter een afweging.
De mensen die thema's en plug-ins voor platforms zoals WordPress schrijven, maken af en toe fouten en als ze dat doen, hebben de fouten geen effect op slechts één website. Een enkele bug kan problemen veroorzaken voor duizenden websites, en als het probleem verband houdt met beveiliging, kunnen de gevolgen behoorlijk verwoestend zijn. Een recent ontdekte kwetsbaarheid in de ThemeGrill Demo Importer plug-in voor WordPress liet ons zien hoe erg dingen kunnen zijn.
ThemeGrill liet een bug achter waardoor hackers hele websites konden wissen
ThemeGrill ontwikkelt premium-thema's voor WordPress en biedt ook een plug-in genaamd ThemeGrill Demo Importer, waarmee beheerders gemakkelijk thema's en instellingen rechtstreeks naar hun websites kunnen importeren. Als u een op WordPress gebaseerde website hebt en u gebruikt ThemeGrill Demo Importer, moet u ervoor zorgen dat de plug-in wordt bijgewerkt naar de nieuwste versie. Onderzoekers van WebARX ontdekten dat alle incarnaties van de plug-in tussen ThemeGrill Demo Importer 1.3.4 en ThemeGrill Demo Importer 1.6.1 zijn getroffen door een kritieke beveiligingslek waardoor hackers volledige schade kunnen aanrichten.
Het probleem ligt bij de functie reset_wizard_actions, die wordt geladen wanneer de plug-in een actief ThemeGrill-thema detecteert. De functie wordt gekoppeld aan admin_init die normaal alleen in een admin-omgeving wordt uitgevoerd. Het kan echter ook oproepen doen naar /wp-admin/admin-ajax.php en de onderzoekers ontdekten dat bij interactie met dit bestand, reset_wizard_actions niet controleert of een gebruiker is geverifieerd.
Met behulp van zorgvuldig ontworpen payloads kunnen hackers alle inhoud op een kwetsbare website wegvagen, of ze kunnen administratieve rechten aannemen en er min of meer mee doen wat ze willen.
ThemeGrill heeft de plug-in gepatcht
WebARX-rapport laat zien dat het bekendmaken van het probleem en het helpen met de oplossing niet de meest soepele ervaring was, maar we moeten erop wijzen dat we veel erger hebben gezien. De onderzoekers stuurden hun eerste rapport op 6 februari. Na vijf dagen geen antwoorden te hebben ontvangen, probeerden ze opnieuw contact op te nemen met ThemeGrill. Op 14 februari antwoordde de ontwikkelaar eindelijk en binnen twee dagen werd een nieuwe versie uitgebracht die het probleem aanpakte.
Het feit dat de kwetsbaarheid is hersteld, is goed nieuws, maar het is slechts de helft van het verhaal. ThemeGrill Demo Importer 1.3.4, de versie die de bug introduceerde, werd drie jaar geleden vrijgegeven, en elke website die de plug-in gebruikte tussen toen en zondag toen de patch werd uitgebracht, is blootgesteld. Hoewel er geen aanwijzingen zijn voor in-the-wild-exploitatie, gebruiken veel van de 200.000 websites waarop ThemeGrill Demo Importer is geïnstalleerd, nog steeds kwetsbare versies van de plug-in, wat betekent dat we zeer snel slachtoffers van het beveiligingslek konden zien.
Dit is waar het grote probleem ligt. Volgens W3Techs beheert WordPress meer dan 35% van alle websites over de hele wereld. Er is een heel ecosysteem dat het CMS ondersteunt, en miljoenen mensen gebruiken het omdat het onderhouden van een website ermee zo eenvoudig is als het wordt. Helaas heeft de ervaring ons geleerd dat beveiligingsupdates en -patches niet erg hoog staan op veel van de prioriteitenlijsten van deze mensen. Als het internet veiliger moet worden, moet dit veranderen.
