Ernstige kwetsbaarheden in WordPress stellen miljoenen sites bloot aan hackers

Abonneer je gratis op Techzine!

Er zijn een aantal ernstige kwetsbaarheden aangetroffen in WordPress, waardoor talloze sites die gebruikmaken van het CMS mogelijk blootgesteld zijn aan hackers. Dat melden onderzoekers van Secarma tijdens de BSides cybersecurity-conferentie in Manchester.

Aanvallers kunnen het WordPress PHP-framework uitbuiten en het volledig systeem zo blootleggen. Als een domein het uploaden van bestanden, zoals afbeeldingen, toestaat, dan kunnen aanvallers een thumbnail-bestand plaatsen. Hiermee is misbruik te maken van de eXternal Entity (XXE–XML) en Sever Side Request Forgery (SSRF) kwetsbaarheden.

Langer bekend

Oorspronkelijk zouden die laatste twee kwetsbaarheden alleen gebruikt kunnen worden om informatie bloot te leggen, maar het probleem lijkt nu dieper te gaan. Onderzoeker Sam Thomas van Secarma stelt dat ze namelijk misbruikt kunnen worden om code uit te voeren. Dat kan doordat het systeem bepaalde waarden omzet naar PHP-waarden. Terwijl het dat doet, kan code ingeladen en uitgevoerd worden.

Het probleem werd al in 2009 voor het eerst aangetroffen en er bestaan oplossingen voor die uitgerold moeten worden. In potentie zijn veel sites kwetsbaar voor het probleem, aangezien miljoenen websites WordPress gebruiken. Volgens Semarca is WordPress in februari 2017 op de hoogte gesteld van het probleem, maar “moet er nog actie ondernomen worden”.

Niet opgelost

Het is niet bekend of de bug ook echt al eens uitgebuit is door aanvallers. Daar zijn in elk geval geen gevallen van bekend. De bug werd vorig jaar gemeld via het WordPress HackerOne bug bounty programma, en een paar dagen later bevestigd, waarna Thomas betaald werd voor zijn bevindingen.

Volgens Semarca zijn er in de loop van mei 2017 pogingen ondernomen om het probleem op te lossen, maar is er niets definitiefs gedaan. “Vervolgens is er enkele maanden niet meer met ons gecommuniceerd,” aldus een woordvoerder van Semarca tegenover ZDNet. “Recentelijk is er weer contact met ons opgenomen”.