Cyberbeveiligingsbedrijf publiceert uit onvrede details over twee zero-days

Het Amerikaanse cyberbeveiligingsbedrijf Plugin Vulnerabilities heeft uit onvrede details over twee zero-days gepubliceerd. Beide kwetsbaarheden zijn van invloed op Messenger Customer Chat en Facebook for WooCommerce, twee officiële Facebook WordPress-plug-ins.

De gepubliceerde details bevatten bovendien ook een proof-of-concept (PoC) -code, die hackers in staat stelt exploits te maken en aanvallen te lanceren op sites. De twee zero-days stellen geverifieerde gebruikers in staat om WordPress site-opties te wijzigen. De kwetsbaarheden zijn moeilijker te exploiteren, maar laten aanvallers wel toe sites over te nemen, aldus ZDnet.

Messenger Customer Chat is een plug-in die een aangepast Messenger-chatvenster op WordPress-sites toont en op meer dan 20.000 WordPress-sites is geïnstalleerd. Facebook for WooCommerce telt ruim 200.000 installaties en betreft een plug-in, waarmee eigenaren van WordPress-sites hun WooCommerce-winkels kunnen uploaden naar hun Facebook-pagina’s. 

Wrok

Een jarenlange wrok tussen Plugin Vulnerabilities en het WordPress forum moderatieteam heeft nu de veiligheid van gebruikers van beide plug-ins in gevaar gebracht. Het Plugin Vulnerabilities team weigerde eerder een beleidswijziging te volgen op de WordPress.org-forums. De nieuwe regel verbiedt gebruikers voortaan om beveiligingsfouten via deze forums te melden. In plaats daarvan eist het moderatieteam dat gebruikers hen per e-mail op de hoogte stellen. Het team neemt vervolgens weer contact op met de gebruikers van de betreffende plug-in.

Hoewel er sprake was van een nieuwe regel bleef Plugin Vulnerabilities beveiligingsfouten op de WordPress-forums onthullen. Het team is inmiddels verbannen van de forums en begonnen met het publiceren van eigen blogposts. Hierin waarschuwen ze gebruikers voor veiligheidslekken. Dit alles voorzien van gedetailleerde informatie en PoC-code over de kwetsbaarheden die ze tegenkwamen. 

Malwarecampagnes

Zo bracht het cyberbeveiligingsbedrijf beveiligingsfouten aan het licht voor WordPress-plug-ins als Easy WP SMTP, Yuzo Related Posts en Social Warfare. Naast ook die van Yellow Pencil Plugin en WooCommerce Checkout Manager. Bovendien publiceerden ze ook details over twee cross-site request forgery (CSRF)-fouten, die van invloed zijn op beide Faceboo- plug-ins. Publicaties die zeker ook hackers aantrokken en die vervolgens de details van de plugin-kwetsbaarheden integreerden in hun actieve malwarecampagnes.

Lees ook: Beveiligingsprovider dumpt drie zero-days voor WordPress uit onvrede