De afgelopen drie weken zijn er in totaal zo’n 160.000 websites blootgesteld aan zero-day kwetsbaarheden in een aantal WordPress plugins. Het ging om Social Warfare, Easy WP SMTP, de Yuzo plugin en de Yellow Pencil plugin. De kwetsbaarheden stelden kwaadwillenden in staat om bezoekers van websites die een van deze plugins gebruikten, door te sturen naar malafide websites. Nu blijkt dat de informatie over de zero-day kwetsbaarheden opzettelijk werd verspreid voordat de ontwikkelaars de kans kregen om een patch beschikbaar te stellen. En wel door iemand die zich een ‘beveiligingsprovider’ noemt. Dat meldde Ars Technica deze week.
Plugin Vulnerabilities
De bewuste beveiligingsprovider maakte de kwetsbaarheden openbaar via de website Plugin Vulnerabilities. Volgens eigen zeggen wilde hij met zijn actie bewijzen dat vertragingen door plugin ontwikkelaars en website beheerders ernstige gevolgen kunnen hebben. Als plugin ontwikkelaars niet meteen aan de slag gaan met het patchen van kwetsbaarheden zodra zij hierover geinformeerd worden, en website beheerders hun plugins niet meteen updaten zodra er een nieuwe versie beschikbaar is, brengt dat risico’s met zich mee.
Waarschuwingen werden genegeerd
Uit de begeleidende tekst van de zero-day berichten op Plugin Vulnerabilities, blijkt inderdaad dat de beveiligingsprovider een punt wilde maken. “De moderators van het ondersteuningsforum van WordPress Support gaan door met ongepast gedrag. Ons huidig openbaarmakingsbeleid is om kwetsbaarheden volledig te onthullen en daarna de ontwikkelaar via het WordPress Support Forum te waarschuwen. Alleen verwijderen de moderators vaak deze berichten, zonder iemand hierover te informeren,” schrijft hij. Volgens hem duurde het maar liefst 11 dagen voordat de zero-day kwetsbaarheid in de Yuzo plugin openbaar werd gemaakt. Als de ontwikkelaars het lek tijdig gepatched hadden, zou er nooit misbruik van gemaakt kunnen worden.
Geen spijt van publiceren zero-day kwetsbaarheden
Ondanks het feit dat website beheerders en eindgebruikers wel degelijk het slachtoffer zijn geworden van zijn openbaarmakingen, lijkt de beveiligingsprovider er niet echt spijt van te hebben. “We hebben geen directe kennis van wat hackers doen, maar het lijkt waarschijnlijk dat onze onthullingen tot uitbuiting zouden hebben geleid. Deze volledige onthullingen zouden al lang geleden zijn gestopt, als de moderatie van het ondersteuningsforum eenvoudig was opgeschoond. Als ze gewoon zouden hebben afgesproken om de boel op te ruimen, had de eventuele schade voorkomen kunnen worden.” De identiteit van de beveiligingsprovider is overigens onbekend.
