Populaire WordPress-plug-in die kwetsbaar is voor misbruik en kan worden gebruikt om een complete website te kapen, waarschuwt beveiligingsexperts
Een populaire WordPress-plug-in die websitebeheerders helpt met onderhouds- en onderhoudsactiviteiten, is extreem kwetsbaar voor uitbuiting. De plug-in is gemakkelijk te manipuleren en kan worden gebruikt om de volledige website inactief te maken of aanvallers kunnen hetzelfde overnemen met beheerdersrechten. De beveiligingsfout in de populaire WordPress-plug-in is getagd als 'Critical' en heeft een van de hoogste CVSS-scores gekregen.
Een WordPress-plug-in kan worden gebruikt met minimaal toezicht van geautoriseerde beheerders. De kwetsbaarheid laat blijkbaar databasefuncties volledig onbeveiligd. Dit betekent dat elke gebruiker elke gewenste databasetabellen kan resetten, zonder authenticatie. Onnodig toe te voegen, dit betekent dat berichten, opmerkingen, hele pagina's, gebruikers en hun geüploade inhoud binnen enkele seconden gemakkelijk kunnen worden weggevaagd.
WordPress Plugin 'WP Database Reset' Kwetsbaar voor gemakkelijke exploitatie en manipulatie voor overname of verwijdering van websites:
Zoals de naam al aangeeft, wordt de WP Database Reset-plug-in gebruikt om databases opnieuw in te stellen. Websitebeheerders kunnen kiezen tussen volledige of gedeeltelijke reset. Ze kunnen zelfs een reset bestellen op basis van specifieke tabellen. Het grootste voordeel van de plug-in is het gemak. De plug-in vermijdt de moeizame taak van de standaard WordPress-installatie.
Het beveiligingsteam van Wordfence, dat de fouten ontdekte, gaf aan dat op 7 januari twee ernstige kwetsbaarheden in de WP Database Reset-plug-in werden gevonden. Beide kwetsbaarheden kunnen worden gebruikt om een volledige website-reset of overname te forceren.
De eerste kwetsbaarheid is getagd als CVE-2020-7048 en heeft een CVSS-score van 9,1 gekregen. Deze fout zit in de reset-functies van de database. Blijkbaar was geen van de functies beveiligd door middel van controles, authenticatie of verificatie van privileges. Dit betekent dat elke gebruiker elke gewenste databasetabel kan resetten, zonder authenticatie. De gebruiker hoefde alleen maar een eenvoudig oproepverzoek in te dienen voor de WP Database Reset-plug-in en kon pagina's, berichten, opmerkingen, gebruikers, geüploade inhoud en nog veel meer effectief wissen.
De tweede beveiligingslek is getagd als CVE-2020-7047 en heeft een CVSS-score van 8,1 uitgegeven. Hoewel een iets lagere score dan de eerste, is de tweede fout even gevaarlijk. Door deze beveiligingsfout kon elke geverifieerde gebruiker zichzelf niet alleen beheerdersrechten op goddelijk niveau verlenen, maar ook "alle andere gebruikers van de tafel halen met een eenvoudig verzoek". Schokkend genoeg deed het toestemmingsniveau van de gebruiker er niet toe. Over hetzelfde gesproken, Chloe Chamberland van Wordfence, zei:
“Telkens wanneer de tabel wp_users werd gereset, werden alle gebruikers uit de gebruikerstabel verwijderd, inclusief beheerders, behalve de momenteel ingelogde gebruiker. De gebruiker die het verzoek verstuurt, wordt automatisch doorgestuurd naar de beheerder, zelfs als deze slechts een abonnee is.”
Als enige beheerder kan de gebruiker in wezen een kwetsbare website kapen en in feite de volledige controle krijgen over het Content Management System (CMS). Volgens de beveiligingsonderzoekers is de ontwikkelaar van de WP Database Reset-plug-in gewaarschuwd en zou deze week een patch voor de kwetsbaarheden worden geïmplementeerd.
De nieuwste versie van de WP Database Reset-plug-in, inclusief de patches, is 3.15. Gezien het ernstige veiligheidsrisico en de grote kans op permanente gegevensverwijdering, moeten beheerders de plug-in bijwerken of deze volledig verwijderen. Volgens experts hebben ongeveer 80.000 websites de WP Database Reset-plug-in geïnstalleerd en actief. Iets meer dan 5 procent van deze websites lijkt de upgrade echter uitgevoerd te hebben.
