WordPress dicht kritiek lek in updatemechanisme

Abonneer je gratis op Techzine!

WordPress heeft in september van dit jaar een zeer ernstig beveiligingslek in zijn updateservers gedicht. Hiermee was het mogelijk om miljoenen WordPress-websites te hacken. Aangezien zo’n 26 procent van alle websites gebruik maakt van WordPress zouden de mogelijke gevolgen gigantisch zijn.

WordPress is het meest populaire contentmanagementsysteem dat vandaag de dag gebruikt wordt. Steeds meer websites kiezen er ook voor om over te stappen op WordPress. Het gevolg is dan ook dat WordPress een populair doelwit is geworden van hackers.

De servers van WordPress spelen daarin ook een vitale rol en dan voornamelijk api.wordpress.org, deze server fungeert als updateserver. Elke WordPress-site verbindt elk uur met deze server om te controleren of er updates beschikbaar zijn voor de WordPress-installatie maar ook de plugins en thema’s.

Het antwoord dat vervolgens door de server wordt gegeven bevat de software waar updates voor beschikbaar zijn inclusief downloadlinks. Als hackers erin zouden slagen deze server te hacken, zouden ze een kwaadaardige update kunnen uitrollen naar alle WordPress-installaties. WordPress maakt namelijk niet gebruik van digitale handtekeningen om software-updates te controleren. Iets waar beveiligingsonderzoekers al wel enige tijd voor pleitten.

 

Beveiligingsbedrijf Wordfence ontdekte eerder dit jaar een kwetsbaarheid waardoor het mogelijk was de updateserver van WordPress over te nemen en zo’n aanval uit te voeren. Aangezien Wordfence geen kwade wil heeft, werd het beveiligingslek gerapporteerd aan WordPress en is het lek gedicht. Wordfence heeft ook een passende financiële beloning gekregen voor het melden van deze lek.

 

De methode om toegang te krijgen tot de server api.wordpress.org was aardig complex, maar voor menig hacker niet onmogelijk. Het probleem zat in de manier waarop WordPress-ontwikkelaars code synchroniseren met GitHub, hiervoor wordt gebruik gemaakt van ene GitHub-webhook. Wordfence ontdekte een manier waarop het code kon synchroniseren maar ook een shellopdracht kon uitvoeren op api.wordpress.org. Hierdoor krijg hij toegang tot het besturingssysteem van de server.

De kwetsbaarheid kreeg een 9,8 op een schaal van 10 en werd binnen enkele uren opgelost.