Meer dan 200.000 websites kwetsbaar door kritieke fout in WordPress plug-in

De ThemeGrill Demo Importer plug-in voor WordPress bevat een ernstige software kwetsbaarheid, welke wanneer deze niet gepatcht wordt, misbruikt kan worden door ongeauthentiseerde aanvallers op afstand die verschillende websites en blogs kunnen compromitteren.

Er is bekend dat er meer dan 200.000 actieve installaties zijn van de ThemeGrill Demo Importer plug-in. De plug-in wordt gebruikt om het voor WordPress website beheerders eenvoudiger te maken om demo content, widgets en instellingen van ThemeGrill te importeren en eenvoudig een thema aan te passen.

Het securitybedrijf WebARX heeft een rapport gemaakt waarin staat dat wanneer een ThemGrill thema is geïnstalleerd en geactiveerd is, dan voert de voorgenoemde plug-in sommige functies uit met beheerdersrechten zonder te controleren of de gebruiker die de code draait daadwerkelijk een beheerder is.

Deze fout kan er toe leiden dat ongeauthentiseerde aanvallers op afstand de gehele database wissen en terugbrengen naar de standaard instellingen, waarna deze aanvallers automatisch beheerder worden van de website en de complete controle hebben.

themegrill wordpress plugin

In bovenstaande afbeelding alt er te zien dat er geen authenticatie controle plaats vindt en alleen de “do_reset_wordpress” parameter moet beschikbaar zijn in de URL van alle “beheer” gebaseerde pagina’s van WordPress, zoals “/wp-admin/admin-ajax.php.”

Verder geven de onderzoekers van WebARX aan dat het hier gaat om een serieuze kwetsbaarheid die een significante hoeveelheid schade kan aanrichten, omdat het geen verdacht lijkende payload vereist. Hierdoor wordt er niet verwacht dat er een firewall is die standaard het verkeer van de externe aanvallers blokkeert, hierdoor zal er een speciale firewall regel gemaakt moeten worden om deze kwetsbaarheid te blokkeren.

Welke versies zijn kwetsbaar?

De volgende versies van de ThemeGrill Demo Importer plug-in zijn kwetsbaar:

  • versie 1.3.4 t/m 1.6.1, welke zijn uitgebracht in de afgelopen 3 jaar.

Wordt de kwetsbaarheid actief misbruikt?

Er is op dit moment nog niet bekend dat de kwetsbaarheid actief misbruikt wordt, maar aangezien de kwetsbaarheid nu bekend is geworden is de kans groot dat deze kwetsbaarheid op korte termijn wordt misbruikt.

Op dit moment is er nog geen CVE toegewezen aan de kwetsbaarheid.

Zijn er patches/updates beschikbaar?

De ontwikkelaars van ThemeGrill hebben versie 1.6.2 uitgebracht op 16 februari 2020 om de kwetsbaarheid te verhelpen.

Eerdere WordPress plug-in kwetsbaarheden dit jaar

  1. GDPR Cookie Consent, een populaire WordPress plug-in met meer dan 700.000 actieve installaties. Waarbij het mogelijk is om een geauthentiseerde “stored XSS” en privilege escalatie uit te voeren. Op 10 februari 2020 is hiervoor versie 1.8.3 van de plug-in uitgekomen om de kwetsbaarheid te verhelpen;
  2. Code Snippets, een WordPress plug-in met meer dan 200.000 actieve installaties. CVE-2020-8417 is hieraan toegewezen, welke het onder andere mogelijk maakt om de complete website over te nemen en toegang te krijgen tot gevoelige informatie. Op 25 januari 2020 is hiervoor versie 2.14.0 van de plug-in uitgebracht om de kwetsbaarheid te verhelpen;
  3. InfiniteWP Client & WP Time Capsule, worden gebruikt door respectievelijke meer dan 300.000 en 20.000 websites. Door fouten in de code is het mogelijk om als administrator in te loggen als beheerder zonder wachtwoord. Op 8 januari 2020 zijn versies 1.9.4.5 voor Infintie WP Client en versie 1.21.16 uitgebracht voor WP Time Capsule om de kwetsbaarheden te verhelpen;
  4. WP Database Reset, heeft meer dan 80.000 actieve installaties. CVE-2020-7048 en CVE-2020-7047 zijn toegewezen aan de kwetsbaarheden. Waarbij het mogelijk is om de complete website over te nemen en/of de database te resetten. Op 14 januari is versie 3.15 is uitgebracht om de kwetsbaarheden te verhelpen.

Hieruit blijkt dat er door de veel verschillende WordPress plug-ins die worden gebruikt steeds meer kans is dat je website kwetsbaar is.

Advies

Wij adviseren iedereen die gebruik maakt van de ThemeGrill Demo Importer plug-in, deze z.s.m. te updaten naar versie 1.6.2.

Ook adviseren wij wanneer er gebruik wordt gemaakt van één of meerdere van de andere genoemde plug-ins deze te updaten naar de genoemde versies of hoger om niet meer kwetsbaar te zijn voor de genoemde kwetsbaarheden.

Verder brengt het WordPress Dashboard beheerders automatisch op de hoogte wanneer er een plug-in geüpdatet moet worden, hou dit dashboard in de gaten.

Indien mogelijk, is het ook een optie om automatisch updaten aan te zetten, zodat de plugin-ins automatisch worden geüpdatet naar de laatste versie.

Als laatste willen wij meegeven om goed te controleren welke WordPress plug-ins allemaal worden gebruikt voor jouw website en wanneer er plug-ins tussen zitten die niet meer worden gebruikt, deze te verwijderen, zodat wanneer één of meerdere van deze plug-ins een kwetsbaarheid bevatten, jouw website hiervoor niet kwetsbaar is.  Denk je toch de plug-in later nog nodig te hebben, dan kun je deze beter op dat moment weer installeren.

 

PoC beschikbaar voor ongepatchte rce kwetsbaarheid in Citrix ADC en Gateway
APT’s nemen Microsoft Exchange servers over door recente kwetsbaarheid

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

2 + 11 =

Menu