WordPress-installaties vatbaar voor hijacking via publieke wifi-netwerken

Kwaadwillenden kunnen via een publiek of onbeveiligd wifi-netwerk een WordPress-installatie overnemen, ook als tweestapsverificatie is ingeschakeld. Dat heeft een hoofdontwikkelaar van het opensource-cms bevestigd. Hij zegt dat er een fix komt.

Een medewerker van de Amerikaanse equivalent van Bits of Freedom, Electronic Frontier Foundation, ontdekte dat alle WordPress-installaties vatbaar zijn voor hijacking, meldt ArsTechnica maandag. Dat komt door een zogeheten key cookie, die de gebruikersnaam en het wachtwoord onversleuteld via de browser verstuurt. Het gaat om de cookie met de tag 'wordpress_logged_in'.

Volgens de medewerker, Yan Zhu, kunnen kwaadwillenden de cookie onderscheppen als gebruikers via een onbeveiligde verbinding inloggen. Ze kon de werkwijze reproduceren en kwam erachter dat ze meteen was ingelogd, zonder daarbij haar inloggegevens te geven. Bovendien bleek tweestapsverificatie via de telefoon zo te kunnen worden gepasseerd, zo maakte ze donderdag al wereldkundig.

Zhu kon door het lek onder de naam van de blogger posts plaatsen, privéberichten lezen en statistieken bekijken. Daarnaast kon ze in zijn naam reacties schrijven. Tenslotte kon ze het e-mailadres dat was gekoppeld aan het account, veranderen. Daardoor kan de eigenaar van de WordPress-installatie zijn wachtwoord niet aanpassen. Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.

WordPress-hoofdontwikkelaar Andrew Nacin bevestigde donderdag al in een tweet de kwetsbaarheid. Hij zei dat er een patch is gepland voor de volgende release, die nog niet is uitgebracht. Tot die tijd zijn alle WordPress-installaties vatbaar, mits er sprake is van de genoemde voorwaarden voor de aanval. Zhu raadt gebruikers dan ook aan niet in te loggen via onbetrouwbare internetverbindingen.

Het is de tweede keer in korte tijd dat aanvallers via cookies kunnen inloggen op WordPress-systemen. Vorige maand pletten de ontwikkelaars nog een bug waardoor het voor kwaadwillenden mogelijk was om via nagemaakte authenticatie-cookies in WordPress te komen. De vroege versie van 3.9, versie 3.8 en 3.7 waren kwetsbaar.

Lees meer

Reacties (41)

+2Niet Henk
26 mei 2014 21:57

Niet echt nieuws naar mijn mening. Als je geen SSL gebruikt om je site te beveiligen, is het inderdaad mogelijk om de login informatie te onderscheppen op een publiek netwerk. Het enige wat hieraan opvallend is, is dat tweestaps authenticatie niet beschermd.

Het is best lastig om tweestapsauthenticatie zo te schrijven dat een login cookie niet alle informatie bevat die nodig is om in te loggen, maar het toch gebruikersvriendelijk blijft. WordPress heeft naar mijn mening een best goede balans tussen veiligheid en gebruiksvriendelijkheid, zolang je SSL gebruikt.

einstein
@Niet Henk • 26 mei 2014 22:48

Het is alleen erg jammer dat Wordpress al jaren problemen heeft met de certificaten van een groot aantal SSL aanbieders.

Blaise
@einstein • 26 mei 2014 22:52

Wat heeft Wordpress te maken met SSL aanbieders? SSL regel je op serverniveau, toch?

0bbcs
@Blaise • 26 mei 2014 22:56

Wat heeft Wordpress te maken met SSL aanbieders? SSL regel je op serverniveau, toch?

Correct.

GigaPixels
26 mei 2014 21:38

Het belang van het gebruik van een VPN wordt hiermee mooi bewezen.

ongewoongewoon
@GigaPixels • 26 mei 2014 21:44

Of juist het gevaar van publieke netwerken

Evanescent
@ongewoongewoon • 27 mei 2014 00:17

Dat "vertrouwde" WiFi netwerken net zo onbetrouwbaar zijn als publieke netwerken, is inmiddels wel bekend, hoop ik. Deze zijn redelijk makkelijk te kapen via een WiFi Pineapple, bijvoorbeeld. Uiteraard is de kans dat je dat thuis gebeurt een stuk kleiner, maar 100% vertrouwd is een WiFi netwerk dus nooit.

+1mbb
@Evanescent • 27 mei 2014 03:46

geld het dan ook voor het niet-wifi lan geeelte van datzelfde netwerk?
Er wordt namelijk expliciet alleen gesproken over Wifi, maar het lijkt me toch hetzelfde netwerk

ongewoongewoon
@mbb • 27 mei 2014 08:41

Nou verbeter mij maar als ik er naast zit, maar wat er zo ongeveer met wifi hijacking gebeurt is dat iemand een hotspot opzet met dezelfde naam en al dan niet hetzelfde wachtwoord, en dan zorgen dat de PC dat hotspot prefereert vanwege een sterker signaal. Vervolgens speelt men " Man in the middle ".

Dit is met een bekabeld netwerk natuurlijk wat lastiger uitvoerbaar , hoewel je daar natuurlijk ook letterlijk tussenin zou kunnen gaan zitten. (Dan is fysieke toegang wel vereist dunkt me)

0Scraxxy
@ongewoongewoon • 27 mei 2014 11:05

Je aanname klopt. Het sterkste signaal wint. Overigens kan je mensen met de juiste software ook van de echte router kicken waarna ze de jouwe joinen.

Evanescent
@mbb • 27 mei 2014 10:08

Het probleem van draadloos is dat je geen controle hebt over welke kan je op praat. Je schiet het gewoon de ether in. Je weet dus ook niet waar het signaal dat je ontvangt vandaan komt. Een kabeltje is veel beter te controleren. Uiteraard kun je ook daar wel een tap tussen zetten, maar dat is toch meer werk.

+1demonic
@GigaPixels • 26 mei 2014 21:41

helaas heeft niet iedereen die gebruik maakt van wordpress genoeg kennis van vpn om het te gebruiken, laat staan om het op te zetten.

En dat is denk ik in veel gevallen met beveiliging zo het geval.

0zxcvb
@GigaPixels • 26 mei 2014 22:14

Iemand tips voor goede en eenvoudige vpn software, bij voorkeur gratis?

0mbb
@zxcvb • 27 mei 2014 03:48

En is daar een wordpress/php plugin van die je op je website kan installeren?

gekkejopie
@mbb • 27 mei 2014 09:09

Lees dit eens door dan weet je wat VPN voor je kan betekenen:

http://nl.wikipedia.org/wiki/Virtueel_Particulier_Netwerk

"VPN-technieken kunnen ook worden gebruikt om de beveiliging van een eigen netwerk te verbeteren, maar ze zijn in de eerste plaats ontworpen om veilig transport over een onveilig netwerk mogelijk te maken."

0zxcvb
@gekkejopie • 27 mei 2014 15:45

Is inloggen via VPN nu net zo veilig als met een SSL verbinding?

0mbb
@gekkejopie • 27 mei 2014 16:20

Ik weet wat een VPN is, maar toch bedankt voor je link.
Maar veel Wordpress installaties draaien op alleen PHP+mySQL en dan heb je geen toegang tot de server om VPN clients te installeren. Dus vandaar mijn vraag of dit via een PHP tool of wordpress plugin kon?

gekkejopie
@mbb • 27 mei 2014 16:44

Volgens mij kom je dan eerder uit bij een SSL verbinding dan een VPN verbinding aangezien het je alleen gaat om een directe verbinding naar je eigen website, maar ik durf niet te zeggen of daarmee dit probleem al afgevangen wordt.

Andere optie is om een gratis vpn service te gebruiken dan hoef je niets te installeren op je webserver en kun je via die service internetten op bijvoorbeeld je mobiel.

0BelJoost
@mbb • 28 mei 2014 13:48

Euh? Ik neem aan dat je doelt op vpn. Wat zou die plugin moeten doen? Welke functionaliteit hoop je dat die heeft?

0Dutch2007
@zxcvb • 26 mei 2014 22:26

openvpn

Zeg
26 mei 2014 23:14

Ben benieuwd of er ook plugins geïnstalleerd kunnen worden met deze bug. Dat zou een extra potentieel gevaar kunnen vormen. Hopelijk schiet die patch op!

mozoa
@Zeg • 27 mei 2014 00:10

Als er inderdaad ingelogd kan worden op een admin account dan is het installeren van plugins zeker mogelijk, aangezien die functie gewoon in het zelfde dashboard zit.

KeRsTmAnNeKe
@mozoa • 27 mei 2014 09:08

Dan nog niet altijd, hangt van de rechten op de server en/of je wp-config bestand af. Als je installatie mag schrijven in je wp-content map of je ftp gegevens in wp-config hebt ingevuld kan je wel plugins installeren, anders vraagt hij om ftp gegevens.

+1bbcs
26 mei 2014 22:55

Tenslotte kon Zhu de tweestapsverificatie inschakelen als dat nog niet het geval was, waarmee de aanvaller de gebruiker feitelijk van de site weert. Het veranderen van het wachtwoord is niet mogelijk; daarvoor is een aparte cookie noodzakelijk, die wel is versleuteld.

Dit klopt niet. Het is altijd mogelijk om het wachtwoord aan te passen: namelijk via de database. $_/-\o_$

idef1x
@bbcs • 27 mei 2014 08:56

Niet door de gebruiker...wel door de site admin..

0jostefa
26 mei 2014 21:47

Waarom zou je een wordpress installatie doen op een openbaar netwerk? Vragen vragen vragen..

robb_nl
@jostefa • 26 mei 2014 21:52

Er wordt bedoeld: inloggen op een Wordpress instance (=installatie)

0jostefa
@robb_nl • 26 mei 2014 22:33

Ik zie dat het bedtijd voor mij is. Wat een domme post van mij, bedankt voor de correctie!

+1Niet Henk
@jostefa • 26 mei 2014 21:53

Dit gaat niet om de handeling "het installeren van WordPress", maar gewoon een plek waar WordPress geïnstalleerd is.

Zeror

@jostefa • 26 mei 2014 21:53

Even inloggen om een nieuwe blogpost te doen. Dat is wel veelvoorkomend, denk ik.

mphilipp
27 mei 2014 00:24

Dus als ik toevallig op een terras zit en een WP installatie wil doen, ben ik dus vatbaar voor een hack? Is dat het wereldschokkende beveiligingslek dat nu weer ontdekt is? Wow! I'm impressed!

+1Mmore
@mphilipp • 27 mei 2014 02:04

Nee. Als je toevallig op terras zit en je logt in om een blogpost te plaatsen over hoe lekker het weer buiten is terwijl je een biertje doet dan ben je vatbaar voor een hack.

Niet heel wereldschokkend inderdaad, met name omdat dit enkel geldt voor niet-beveiligde (middels SSL) verbindingen. Het is niet heel lastig om verbindingen die niet over SSL werken op een open WiFi hotspot af te luisteren en te manipuleren. Dit wordt bijvoorbeeld hier goed beschreven. Wat je allemaal te prijs geeft als je een openbaar WiFi hotspot gebruikt.

mphilipp
@Mmore • 27 mei 2014 19:37

Waarbij komt dat publieke wifi spots eigenlijk nooit te vertrouwen zijn, want een crimineel kan vlak naast dat café gaan zitten met een open AP met een naam die erg veel op dat café lijkt. Packet sniffer en je kunt alles bekijken. Ik zou geen biertje willen kopen voor iedereen die onbeveiligd surft...daarvoor verdien ik te weinig....per jaar...

laurens-b
27 mei 2014 12:10

Er wordt in het artikel gesproken over vroege versies van o.a. 3.9. Weet iemand zo of 3.9.1 daar ook onder valt?

BlackOwl
@laurens-b • 27 mei 2014 17:10

Volgens het bronartikel komt er een fix in de volgende release pas, dus ga er maar van uit van wel.

In a Tweet made Thursday, Nacin, who contributes to the WordPress open-source project and doesn't work for for Automattic/WordPress.com, confirmed that "cookies can be replayed until expiration." He said a fix is scheduled for the next WordPress release.

0dwarfangel
27 mei 2014 12:27

wat ben ik blij dat wij alles zelf ontwikkelen en niet telkens hoeven te stressen als er weer een WP-lek is.

rohaantje

@dwarfangel • 27 mei 2014 14:30

maar hoe veilig is je eigen systeem.
Wat ik het voordeel vindt van algemene CMS systemen.. De community is groot en snel..
Al valt er vaak verder weinig positief over cms systemen te zeggen.. Vooral voor grotere websites.

0dwarfangel
@rohaantje • 28 mei 2014 16:29

Wij weten in ieder geval welke code wij er zelf in hebben gezet. Ik zou nooit durven beweren dat mijn systemen 100% lekdicht zijn, maar ik hoef tenminste niet te wachten tot een volgende update.

Zoals hieronder ook terecht wordt gezegd, veel theme's en add-ons bevatten veiligheidsproblemen. Dus het blijft altijd gokken welke je moet hebben...

0ZuzZoo
28 mei 2014 02:06

vergis je niet. Vaak zijn de door piraterij groepen releasde WordPress Themes voorzien van backlinks en weet ik allemaal nog wat.

0de_fries
30 mei 2014 20:57

Een behoorlijke nuance voor de bron van dit bericht is zojuist door Andrew Nacin gepubliceerd: http://nacin.com/2014/05/30/security-is-nuanced/

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

WordPress-installaties vatbaar voor hijacking via publieke wifi-netwerken

Lees meer

Reacties (41)

Sorteer op:

Weergave: