In control, of valt dat tegen?
Op 9 juni 2023 werd CVE-2023-1888 gepubliceerd, met de volgende omschrijving: “The Directorist plugin for WordPress is vulnerable to an arbitrary user password reset in versions up to, and including, 7.5.4. This is due to a lack of validation checks within login.php. This makes it possible for authenticated attackers, with subscriber-level permissions and above, to reset the password of an arbitrary user and gain elevated (e.g., administrator) privileges.” Kwaadwillende konden door het ontbreken van controles in de Login module van deze WordPress plugin het wachtwoord van willekeurige gebruikers resetten, dus ook van beheerders met veel rechten. Gezien de kwetsbaarheid werd een impact score van 8.8 toegekend. Met een schaal van 1 tot 10 is 8.8 een behoorlijk hoge score, de impact van deze vulnerability is dus groot. Helaas is de versie waarin deze vulnerability gepatched is (7.5.5) sinds 1 juni niet meer heel eenvoudig via de WordPress repository te downloaden en moet updaten dus handmatig gebeuren, wat veel meer werk en minder eenvoudig is.
Dit is niet de eerste vulnerability die WordPress treft, er zijn inmiddels ruim 6000 vulnerabilities voor WordPress bekend in de CVE (een databank met Common Vulnerabilities and Exposures) en de meesten zijn gelinkt aan plug-ins. Dit roept de vraag op hoe je hier als beheerder of eigenaar van een WordPress site mee om moet gaan… Het is tenslotte niet de bedoeling om iedereen op internet toegang te geven tot normaal ontoegankelijke delen van de site of kwaadwillende toegang te geven tot onderliggende databases.
Wat is het probleem?
Als oplossing zal de beheerder vulnerabilities moeten patchen, maar dat is dus niet zo eenvoudig als het gewoon regelmatig updaten van de WordPress installatie en geïnstalleerde plug-ins. Zoals hierboven al beschreven zijn niet alle plug-ins m.bt. nieuwe versies via de repository te verkrijgen. Dat betekent dus handwerk voor de beheerder en daarvoor moet bekend zijn welke plug-ins allemaal gebruikt worden en waar de updates vandaan gehaald kunnen worden. En daar wringt vaak de schoen.
Het komt helaas te vaak voor dat bedrijven geen volledig overzicht hebben van hun (software) assets, zoals de gehoste websites. En dus ontbreekt ook de lijst met gebruikte (of erger, van ongebruikte maar wel geïnstalleerde) plug-ins vaak. Of hangen er zaken aan internet die daar al lang niet meer bereikbaar zouden moeten zijn, domweg omdat niemand weet of er nog een noodzaak voor is. Ook komt het regelmatig voor dat de websites van een organisatie worden bijgehouden door een afdeling communicatie of marketing, waardoor er meer aandacht is voor de inhoud dan voor de techniek onder de motorkap. Met het grote risico dat er te weinig updates worden uitgevoerd en vulnerabilities te lang aanwezig blijven.
Wat is de oplossing?
In een analyse die ik voor een grote klant deed bleek na combineren van gegevens en navragen bij diensteigenaren dat een kwart van de servers in het serverpark uitgeschakeld konden worden, omdat ze niet meer actief gebruikt werden. Ook hier bleek dus een gebrek aan inzicht in de gebruikte assets, terwijl de klant wel degelijk over een CMDB beschikte die netjes alle draaiende software op servers identificeerde. Alleen kan een CMDB niet inschatten of die software nog daadwerkelijk gebruikt wordt en dus nog nodig is. Bij deze klant zijn de diensteigenaren verantwoordelijk gemaakt voor de gebruikte servers en services. En omdat gebruik verrekent wordt met hun budget is er een grote incentive om niet meer noodzakelijke servers en services ook daadwerkelijk uit te schakelen.
Het veilig houden van het netwerk en de data begint met het identificeren van alle manieren waarop een kwaadwillende toegang zou kunnen krijgen. Dat betekent dat alle hard- en software die gebruikt wordt bekend moet zijn. Want pas als exact bekend is welke software en plug-ins draaien kan er getoetst worden aan bijvoorbeeld de CVE of er bekende vulnerabilities zijn. Want als die er zijn, dan is de kans dat kwaadwillende er misbruik van maken groot. Ook zij kennen de CVE tenslotte en maken er graag gebruik van.
Robert Elsinga
security expert
-> Bekijk de mogelijkheden voor professionals
-> Bekijk de mogelijkheden voor werkgevers