Open backdoor in CMS

De afgelopen weken hebben de media het uitgebreid gehad over de Panama papers. Heel wat van de rijksten der aarde bleken via financiële constructies in Panama aan belastingontduiking of belastingoptimalisatie te doen.

De publieke afkeuring is groot en heel wat media hebben uitgebreid aandacht besteed aan de impact op de belastingen en de schatkist. Met andere woorden: hoeveel belastinggeld is er verloren gegaan en wat hebben die constructies u gekost? Gelukkig is er toch ook een – weliswaar kleiner – positief effect: de verhoogde aandacht van bedrijven voor security. En meer bepaald de veiligheid van het content management systeem (CMS). Want via die weg zijn de onderzoekers aan de gegevens uit de Panama-papers geraakt. Een reconstructie…

 

De Panama Paper lek

De laatste weken gonst het in de media, politiek en justitie over de duizenden documenten die men in handen heeft gekregen van het advocatenkantoor Mossack Fonseca in Panama. Het is wel eens de moeite om stil te staan hoe men eigenlijk in hun systeem is geraakt.

Over de omvang van het lek kunnen we moeilijk smalend doen. Volgende grafiek geeft aan wat de hackers allemaal in handen hebben gekregen:

Panama lek

Bron: Süddeutsche Zeitung

Laat ik maar met de deur in huis vallen: men is binnen geraakt via de website, die op WordPress draait. Volg even mee in deze reconstructie die door specialisten wereldwijd is achterhaald op basis van de informatie die de hackers zelf hebben laten lekken.

De WordPress van Mossack Fonseca werd duidelijk niet up to date gehouden. Op het moment van het lek draaiden men de Revolution Slider versie 2.1.7. Zonder op al de details in te gaan: dit was een echte oude buggy versie van deze schitterende plugin. Tot en met versie 3.0.95 was er een lek, dat werd gerapporteerd op 15 oktober 2014 (!!), dat toeliet om een file te uploaden die php code bevat en door een unauthenticated user kon uitgevoerd worden.

Een simpele robot kan het net afscannen naar de /wp-content/plugins/revslider/release_log.txt notes om te zien welke versie er draait. Eenmaal een oude versie gedetecteerd, is het simpel om code te uploaden die simpelweg de wpconfig.php laat zien.

Alle WordPress admins weten dat die file iets heel belangrijk bevat: namelijk de login voor de ganse WordPress database.

Van daaruit was het een samengaan van elementaire fouten in verband met least privileged accounts. De site van Mossack Fonseca draaide ook de WP SMTP plugin om mails vanop de site te verzenden en tevens de ALO EasyMail Newsletter plugin om nieuwsbrieven te verzenden en (un)subscribes te beheren. De eerste bevat gegevens over de SMTP server, de tweede heeft een POP3-login om de newsletter bounces uit te lezen. Als je SMTP server dan niet achter een firewall zit en je gebruikt als administrator hetzelfde wachtwoord voor deze plugins als voor je eigen email account, tja… Easy game over.

Vanuit de mailbox van een senior staff member kon men makkelijk aan andere gegevens geraken, onder andere aan login gegevens van de Drupal site die men als intranet gebruikte om onderling en met hun cliënten documenten uit te wisselen. Game, set and match.

Voor de techneuten die meer willen weten over welke code juist buggy was en iedere stap meer in details wensen te bestuderen, verwijzen we graag naar de Wordfence blog.

 

It is the outdated CMS, you stupid

Beveiliging WordPress HostingBij de Panama case werd fout op fout gemaakt, zodat men een hele ketting van onveilige systemen had, maar een ketting is altijd zo zwak als de zwakste schakel en in dit geval is het duidelijk dat men vrij eenvoudig is binnen geraakt via een WordPress installatie die niet regelmatig werd geüpdate.

Als hosters merken we vaak dat meer en meer klanten bewust zijn hoe belangrijk het is dat hun server degelijk wordt onderhouden en opgezet volgens industrie standaarden omtrent security. Meer en meer klanten kiezen voor een managed hosting waarin al deze zorgen uitbesteed worden aan specialisten.

Het is dan des te verwonderlijk dat men niet dezelfde houding aanneemt tegenover het CMS waarop hun website draait. Misschien wordt er soms ten onrechte gedacht dat een CMS eveneens door de hosters up to date wordt gehouden. Dit is echter niet het geval omdat een hoster binnen een managed server perfect weet waar hij allemaal rekening moet mee houden omdat de server en OS een geheel vormen die door de hoster beheerd worden.

Maar een CMS draait een website die niet door de hoster werd gebouwd. Een CMS updaten kan betekenen dat bepaalde delen van de website niet meer werken. Daarom is het updaten van een CMS een taak die is weggelegd voor diegene die uw website gebouwd hebben en onderhouden. U sluit dus best niet alleen een contract af met uw hoster voor een onderhoudscontract voor uw server, maar ook met uw website bouwer om uw CMS up to date te houden.

 

Het Feweb onderhoudscontract

Bij Feweb waren we ons al langer bewust van deze problematiek. Als hosters hebben we in groep samengewerkt om een whitepaper te maken voor website ontwikkelaars en hun klanten om deze problematiek te duiden. In samenwerking met deJuristen werd er zelfs een standaardcontract opgemaakt dat webontwikkelaars kunnen gebruiken om hun klanten een continue dienstverlening aan te bieden. Deze template is enkel beschikbaar voor Feweb leden. Als u websites ontwikkelt en u bent nog geen lid van Feweb: dit contract is maar één van de vele voordelen die een lidmaatschap u biedt.

Bent u klant bij een webontwikkelaar die voor u een website gebouwd heeft op een CMS zoals WordPress, Joomla, Drupal, … en u heeft geen onderhoudscontract met hen? Vraag er hen naar en verwijs gerust naar de whitepaper bij Feweb.

Een degelijk onderhouden CMS zorgt immers voor meer veiligheid en een betere SEO.

 

Antwerp Wordcamp

WordCamp Antwerp sponsored by Nucleus

Op 4 en 5 juni gaat Antwerp Wordcamp door. Op dit tweedaags events zal u gewoonweg vanalles tegenkomen dat met WordPress te maken heeft. Nucleus is een fiere sponsor van dit event en zal daar ook aanwezig zijn. Het ideale moment dus als u nog vragen heeft en wil nagaan hoe hoster en ontwikkelaar samen de handen in mekaar slaan voor een betere beveiliging en dienstverlening naar uw klanten toe. Kom ons dus zeker eens opzoeken op onze stand.

 

Gerelateerde berichten
Problemen oplossen in Varnish

Problemen oplossen in Varnish

In onze laatste ChalkTalk video uit de reeks bekijken we “ Problemen oplossen in Varnish ”. Hoe weet je of een pagina juist gecached wordt of niet? Wat zijn de meest voorkomende problemen na een implementatie van Varnish? En hoe los je die problemen op?

Lees meer

Netneutraliteit

Waarom onze overheid netneutraliteit moet garanderen

Een recent artikel van freelance journalist Jan Jacobs over netneutraliteit op Doorbraak.be deed ons steigeren. Zo erg zelfs dat we ons bijna afvragen op hij betaald werd door Proximus of Telenet om zo’n stuk neer te poten.

Lees meer

Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer