wordpress-securityEen ernstig lek in een populaire WordPress-plug-in is de afgelopen weken gebruikt om tienduizenden WordPress-sites over te nemen, waaronder websites die de plug-in niet gebruiken. Het gaat om een kwetsbaarheid in de MailPoet-plug-in, die voor het versturen van nieuwsbrieven wordt gebruikt.

Via het lek, dat begin juli werd gepatcht, kan een aanvaller alles toevoegen op een website, zoals kwaadaardige code voor het besmetten van bezoekers, versturen van spam tot het defacen van de website zelf. MailPoet heeft meer dan 2 miljoen downloads, wat de populariteit onder aanvallers verklaart. Het probleem raakt echter ook websites die de plug-in niet hebben geïnstalleerd, zo meldt beveiligingsbedrijf Sucuri.

usb2Twee onderzoekers zullen volgende week tijdens de Black Hat conferentie in Las Vegas demonstreren hoe USB-sticks een computer volledig kunnen overnemen, door malware die niet op de stick zelf staat, maar in de firmware van het apparaat is verstopt en nauwelijks te detecteren.

Ook zullen onderzoekers Karsten Nohl en Jakob Lell een zichzelf verspreidend USB-virus laten zien. "USB is inmiddels zo gewoon dat we nog nauwelijks stilstaan over de veiligheidsgevolgen. USB-sticks worden af en toe op virussen gescand, maar we beschouwen USB gewoon als veilig, tot nu toe", zo laten de onderzoekers in hun aankondiging over BadUSB weten, zoals de aanval wordt genoemd.

De onderzoekers zijn maanden bezig geweest met het reverse engineeren van de firmware, die wordt gebruikt voor de besturing van de USB-stick. Ze ontdekten dat de firmware geherprogrammeerd kan worden om malware te verbergen. Het probleem is echter niet alleen beperkt tot USB-sticks, ook andere USB-apparaten zoals toestenborden, muizen en smartphones zouden kwetsbaar zijn.

Geen patch

instagram-logoEen lek in de populaire fotodienst Instagram dat al anderhalf jaar bekend is, is nog steeds aanwezig, waardoor een aanvaller de accounts van gebruikers die de Instagram-app op hun iPhone of iPad hebben geïnstalleerd kan kapen. De Instagram app op iOS blijkt sessiecookies onversleuteld uit te wisselen.

Een aanvaller die zich op hetzelfde netwerk als een Instagram-gebruiker bevindt, bijvoorbeeld in het geval van een open wifi-netwerk, kan hierdoor de cookies kapen en zo het account overnemen. Het probleem werd in november 2012 al ontdekt en aan Instagram gemeld, maar niet verholpen.

IEAanvallers gebruiken verschillende functies in Internet Explorer die ervoor zorgen dat er informatie over de beveiliging van een computer en geïnstalleerde software en updates kan worden opgevraagd, zonder dat gebruikers hier weet van hebben. Met de informatie kan een verdere aanval worden uitgewerkt.

Daarvoor waarschuwt het beveiligingsbedrijf AlienVault Labs, dat verschillende aanvallen heeft gezien waarbij deze tactiek werd toegepast. Voor aanvallers is het belangrijk om te weten welke software er op de computer van een potentieel doelwit geïnstalleerd is. De aanwezigheid van Microsofts Enhanced Mitigation Experience Toolkit (EMET) maakt het bijvoorbeeld lastiger om beveiligingslekken aan te vallen, zegt analist Jaime Blasco.

disqus-logoEr is een 'Remote Code Execution' (RCE) kwetsbaarheid in de commentaar en discussie service, Disqus ontdekt. Dit is een plugin voor het de meest populaire blogging platform Wordpress. Op dit moment zijn er meer dan 70 miljoen websites die draaien op WordPress. Ongeveer 1,3 miljoen van hen gebruik de 'Disqus' plugin. Dit maakt het een van de populaire 'commentaren & discussie' plugin voor Wordpress.

Het security team van de beveiligingsfirma Sucuri ontdekte de fout bij analyse van een aantal aangepaste JSON parser files. De variabele parsing functie maakt het mogelijk om willekeurig opdrachten op de server uit te voeren. Dit met behulp van onveilig gecodeerde PHP eval ( ) functie.