Website Security Scans

18/09/2017

Magento dicht ernstig beveiligingslek in webwinkelsoftware

Er zijn belangrijke beveiligingsupdates voor de populaire webwinkelsoftware Magento uitgekomen die in totaal 34 beveiligingslekken verhelpen, waaronder een ernstige kwetsbaarheid die in bepaalde gevallen het uitvoeren van willekeurige code in het cms en de layout mogelijk maakte.

De ernstige kwetsbaarheid maakte het mogelijk voor een Magento-beheerder met beperkte rechten om kwaadaardige code aan een nieuwe cms-pagina toe te voegen, waardoor willekeurige code kon worden uitgevoerd. Andere lekken maakten het voor een Magento-beheerder met beperkte rechten mogelijk om willekeurige systeembestanden van een Magento-installatie te verwijderen of via de testfunctie willekeurige code op het systeem uit te voeren.

De ergste kwetsbaarheid die door een 'anonieme aanvaller' kon worden aangevallen maakte het mogelijk om informatie over bestellingen te achterhalen. Webwinkels krijgen het advies om te updaten naar versie 2.1.9 of 2.0.16 van de software. In de praktijk blijkt echter dat veel webwinkels de updates niet installeren en daardoor worden gehackt en het zo mogelijk voor criminelen maken om creditcardgegevens van klanten te stelen.

14/09/2017

Backdoor in WordPress-plug-in met 200.000 installaties
woensdag 13 september 2017,

Onderzoekers hebben in een WordPress-plug-in met meer dan 200.000 installaties een backdoor ontdekt. Het gaat om de plug-in Display Widgets, waarmee content in de zijbalk van websites per pagina kan worden ingesteld. De plug-in werd in juni van dit jaar door de originele ontwikkelaar verkocht.

De laatste drie versies van de plug-in bevatten kwaadaardige code die de nieuwe ontwikkelaars de mogelijkheid geeft om willekeurige content te plaatsen op WordPress-websites waar de plug-in is geïnstalleerd, zo waarschuwen securitybedrijven Wordfence en Plugin Vulnerabilities. Onlangs klaagden gebruikers dat de plug-in was gebruikt om spam op hun WordPress-sites te plaatsen. Sinds Display Widgets door de oorspronkelijke ontwikkelaar werd verkocht heeft WordPress de plug-in drie keer uit de database met aangeboden plug-ins verwijderd, om de uitbreiding vervolgens ook drie keer weer toe te staan.

Een aantal dagen geleden werd de plug-in voor de vierde keer verwijderd. WordPress-gebruikers die Display Widgets hebben geïnstalleerd krijgen het advies die te verwijderen. WordPress heeft inmiddels excuses gemaakt dat de ontwikkelaars met de gebackdoorde plug-in zolang hun gang konden gaan. Daarnaast heeft het plug-inteam van WordPress een schone versie van Display Widgets ontwikkeld.

10/09/2017

En weer een website gehackt...

De Amerikaanse kredietbeoordelaar Equifax is gehackt via een beveiligingslek in Apache Struts, zo claimen onderzoekers van onderzoeksbureau Baird Equity (pdf). Het is echter onbekend om welk lek het precies gaat. Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties.

07/09/2017

https://www.security.nl/posting/530212/Beveiligingslek+gaf+toegang+tot+interne+chatsysteem+Uber

Taxi-app Uber heeft een beveiligingslek gedicht waardoor het mogelijk was om vanaf het internet toegang tot het interne chatsysteem te krijgen. De kwetsbaarheid werd door onderzoeker Michael Reizelman ontdekt. Uber heeft een programma waarbij het onderzoekers voor het melden van lekken beloont.

31/08/2017

Door een fout in de website van kredietverstrekker AutoCash was het mogelijk om de maandsalarissen, woonlasten en andere gevoelige gegevens van 20.000 Nederlandse autokopers in te zien. Slachtoffers reageren geschokt: "Hoe weet jij dit allemaal?"

31/08/2017

https://www.security.nl/posting/529413/Gegevens+2+miljoen+klanten+winkelketen+CeX+gestolen

Aanvallers hebben bij winkelketen CeX de gegevens van 2 miljoen klanten gestolen, zo heeft het bedrijf bekendgemaakt. CeX is een winkelketen die wereldwijd actief is en gebruikte videogames en elektronica inkoopt en verkoopt. Het Britse bedrijf heeft bijna 600 winkels, waaronder ook in Nederland.