Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

Voor de populaire WordPress plug-in Contact Form 7 is er afgelopen donderdag 17 december een patch uitgebracht. Deze patch verhelpt de kritieke kwetsbaarheid die het mogelijk maakt voor een niet geauthentiseerde kwaadwillende om een website over te nemen waarop de plug-in draait of zelfs in het ergste geval de gehele servers over te nemen waar de website op draait. De patch is uitgebracht als versie 5.3.2 van de Contact Form 7 plug-in.

Om aan te geven hoe populair deze plug-in is, blijkt uit de cijfers dat er 5 miljoen WordPress websites zijn die gebruik maken van de plug-in. Op basis van de Advanced View van de plug-in kan er gezien worden dat 66,2% (op het moment van meten) nog gebruik maakt van een oudere versie dan 5.3.x. De overige 33,9% van de websites maakt gebruik van een 5.3.x versie, maar hierin valt niet te zien of het gaat om de nog kwetsbare 5.3.1 versie of de 5.3.2. versie. Wel blijkt uit de percentages dat het grootste gedeelte nog op oudere versies draait.

De kritieke kwetsbaarheid heeft CVE-2020-35489 toegewezen gekregen met een CVSS score van 10/10. Astra Security Research heeft de kwetsbaarheid op woensdag 16 december ontdekt en heeft deze geclassificeerd als een unrestricted file upload kwetsbaarheid.

Ontwikkelaar komt snel in actie

De ontwikkelaar van de Contact Form 7 (Takayuki Miyoshi) is snel in actie gekomen om de kwetsbaarheid op te lossen, wanneer deze er achter kwam hoe kritiek deze kwetsbaarheid is. Tussen beide partijen (Astra en de ontwikkelaar) was er communicatie over en weer om de update z.s.m. uit te brengen om misbruik van de kwetsbaarheid te voorkomen.

Jinson Varghese van Astra Security Research heeft de kwetsbaarheid gevonden en geeft aan dat en kwetsbaarheid het mogelijk maakt voor een niet geauthentiseerde aanvaller iedere vorm van bestandstype beperkingen kan omzeilen in Contact Form 7 om zo een uitvoerbare binary te uploaden naar een WordPress website die de plug-in versie 5.3.1 of eerder draait.

Wat kan een kwaadwillende nog meer doen?

Een kwaadwillende kan verschillende malafide acties uitvoeren, zoals de website er niet aantrekkelijk voor bezoekers uit laten zien of bezoekers doorsturen naar een andere website met als poging deze bezoekers op te lichten door ze financiële en persoonlijke gegevens achterlaten.

Naast het overnemen van de website, kan een aanvaller in het ergste geval ook de server overnemen waarop de website draait. Dit kan wanneer er geen ‘containerization’ wordt gebruikt om de website te scheiden op de server die de WordPress host, volgens de onderzoekers.

Misbruiken van de kwetsbaarheid is eenvoudig

“De kritieke kwetsbaarheid is eenvoudig te misbruiken. Dit komt, omdat een aanvaller zich niet hoeft te authentiseren en de aanval uitgevoerd kan worden op afstand,” geeft Naman Rastogi van Astra aan in een interview met Threatpost.

De Contact Form 7 is uitgebracht op 17 december. De update vindt automatisch plaats wanneer automatisch updaten is ingeschakeld. Alle andere gebruikers moeten proactief handmatig de plug-in updaten.

Als extra perspectief hoe groot de bug is, geeft webanalyse bedrijf Netcraft aan dat er ongeveer 455 miljoen websites zijn die gebruik maken van WordPress. Dit betekent dat 1,09% van deze websites kwetsbaar kan zijn voor deze kritieke kwetsbaarheid.

Advies

Wij adviseren iedereen die nog gebruik maakt van versie 5.3.1 of ouder van de Contact Form 7 plug-in op zijn WordPress website om z.s.m. te updaten naar versie 5.3.2. Controleer ook voor de zekerheid wanneer automatisch updaten aanstaat of deze ook geslaagd is en je website op 5.3.2 draait.

Indien mogelijk zou je ook kunnen overwegen om automatisch updaten voor de plug-in in te schakelen, wanneer dit nog niet gedaan is.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

Backdoor aangetroffen in SolarWinds Orion software updates
6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Gerelateerde berichten

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Google diensten worden misbruikt in phishing en BEC campagnes

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

negen − drie =

Menu