Panama Papers: lek in WordPress plug-in met grote gevolgen

Lisez en français - Read in English

Hoe levensbelangrijk het is om updates onmiddellijk uit te voeren zodra zij uitgebracht worden, is nogmaals bewezen met het Panama Papers lek. De informatie zou immers niet gelekt zijn door een insider, maar bemachtigd zijn via een niet-gepatchte vulnerability…

Panama Papers: 2,6TB aan data gelekt

De voorbije dagen zijn wereldwijd hooggeplaatste personen, maar ook gewone mensen, in verlegenheid gebracht doordat bekend werd dat zij op Panama, via bemiddeling van het advocatenkantoor Mossack Fonseca, een offshore schermvennootschap opgericht hadden. Een constructie die gebruikt kan worden om geld en andere bezittingen te beschermen tegen de spiedende ogen van de fiscus of andere overheidsinstellingen en daarom door de wereldpers afkeurend onthaald werd. Of dit de bedoeling was van deze bedrijven, laten wij in het midden, evenals de vraag of deze praktijken ethisch verantwoord zijn. Als hostingbedrijf, dat zich bekommert om de veiligheid van de data van zijn gebruikers, wilden wij vooral weten hoe dit datalek kon gebeuren.

LEES OOK: Je WordPress beveiligen met deze 10 basisregels

Want nooit tevoren werden zoveel data gelekt: 2,6 terabyte aan data, bestaande uit 11 miljoen documenten. Ter vergelijking: bij Wikileaks Cablegate werd 1,7GB aan data buitgemaakt, bij Sony Pictures 230GB, bij Ashley Madison 30GB.

Geen insider, maar gebrek aan beveiliging

Beveilig je WordPress sites met updates en patchesHet bijzondere aan de Panama Papers is dat de onthullingen niet het werk zouden zijn van een insider die de gegevens aan de journalisten doorgespeeld heeft. Algemeen wordt immers verondersteld dat de hack het gevolg is van een onbegrijpelijk gebrek aan veiligheidsmaatregelen bij Mossack Fonseca.

Alhoewel het advocatenkantoor over gegevens van haar klanten beschikte die met de hoogste discretie behandeld moesten worden, zou bijvoorbeeld de mailcorrespondentie niet versleuteld zijn. Het bedrijf WordFence, specialist in de beveiliging van het WordPress CMS, stelde verder vast dat de webserver niet achter een firewall stond en zelfs op hetzelfde netwerk stond als de in Panama gebaseerde mail servers. Bovendien werden gevoelige gegevens van de klanten via het websiteportaal geserveerd, via een simpele client login.

Oude versie van Drupal voor klantenportaal

Forbes stelde daarbij vast dat de Drupal-versie, gebruikt in de portaalsite naar de gebruikers toe,  nog 7.23 was, alhoewel versie 8 al beschikbaar is. De oude versie bevatte minstens 25 bekende kwetsbaarheden en al in 2014 had Drupal gewaarschuwd voor exploits ervan. Kortom: door deze kwetsbaarheid stonden de servers meer dan tweeëneenhalf jaar open voor een aanval.

Oude versie Revolution Slider plug-in opende de deur?

Volgens WordFence is het echter waarschijnlijker dat de WordPress plug-in Revolution Slider de hack mogelijk maakte. De plug-in laat door een fout in de codering namelijk toe dat gebruikers zonder privileges een AJAX (of dynamic browser HTTP) functie kunnen aanroepen die eigenlijk alleen maar door geprivilegieerde users gebruikt zou mogen worden. Hierdoor kan een aanvaller een bestand uploaden. Het filmpje met een demo van deze exploit toont aan hoe simpel het is.

Voeg daarbij het feit dat er al in oktober 2014 een werkend exploit voor deze kwetsbaarheid in Revolution Slider gepubliceerd werd, en dat een website die open staat voor het exploit gemakkelijk te vinden is door een robot te construeren die op zoek gaat naar URL's zoals http://mossfon.com/wp-content/plugins/revslider/release_log.txt.

In de vele fora zoals The Register en Slashdot wordt dan ook niet begrijpend gereageerd op de gebrekkige beveiliging van zo'n gevoelige materie.

Updates, Updates, Updates!

Combell Shield houdt attacks tegenDe moraal van het verhaal? Updaten, patchen, updaten en patchen! Het kan niet genoeg beklemtoond worden. Updaten en patchen is levensnoodzakelijk voor alle besturingssystemen, content management systemen en hun add-ons of plug-ins die met het internet verbonden zijn. Krijg je een melding van een update, pas die dan meteen toe.

Heb je webhosting bij Combell, dan ben je steeds op de hoogte van de meest kritische updates. Dankzij Combell Shield worden er controles uitgevoerd op alle CMS-systemen en worden klanten bij kritische bugs of problemen verwittigd. Binnenkort zullen we ook automatische updates kunnen installeren, maar daarover hebben we later meer nieuws. Stay tuned!

Bekijk de verschillende hosting mogelijkheden bij Combell