The Dutch HackInfo

Aanvallers slagen er nog altijd in om WordPress- en Magento-sites via een oud beveiligingslek in Adminer over te nemen en van kwaadaardige code te voorzien die bezoekers naar malafide websites doorstuurt. Dat laat securitybedrijf Sucuri in een analyse weten.

Adminer is een populaire tool voor het beheren van MySQL- en PostgreSQL-databases. Een oude kwetsbaarheid in Adminer maakt het mogelijk voor aanvallers om bestanden op de server te lezen. Zo is het bijvoorbeeld mogelijk om bestanden uit te lezen die inloggegevens voor de database bevatten. Met deze gegevens kan de website worden overgenomen en aangepast. Om de aanval uit te voeren moet de aanvaller Adminer-bestanden vinden die zich in de root-directory van de website bevinden en door de beheerder zijn achtergelaten.

Onderzoekers hebben tijdens de Pwn2Own-hackwedstrijd in Tokyo laten zien hoe ze de Amazon Echo en smart-tv's van Samsung en Sony op afstand kunnen overnemen. Pwn2Own is een door het Zero Day Initiative georganiseerde wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in allerlei producten.

De wedstrijd in Tokyo richt zich op smartphones, Internet of Things-apparaten en sinds deze editie ook op smart-tv's, wearables, thuisautomatisering en routers. Onderzoekers Amat Cama en Richard Zhu maakten gebruik van een beveiligingslek in de browser van de Sony X800G-televisie om een bind shell op het toestel te krijgen. Alleen het bezoeken van een kwaadaardige website was voldoende om de onderzoekers controle over de televisie te geven. Voor hun demonstratie ontvingen ze 15.000 dollar.

Gebruikers van Google Chrome zijn via twee zerodaylekken met malware besmet en voor de tweede kwetsbaarheid is nog geen patch verschenen. Google kwam afgelopen donderdag met een beveiligingsupdate voor een kwetsbaarheid en meldde dat het lek actief werd aangevallen.

De kwetsbaarheid werd door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kann uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist.

Kali heeft begin dit jaar een zogenaamde 'rolling release' uitgebracht, waardoor je steeds over de nieuwste releases van tools kunt beschikken, wat imho in de snel veranderende wereld van cybersecurity een goed idee is. Merkwaardig genoeg is dit OS, dat is ontworpen voor gebruik als security tool, nog steeds zelf inherent onveilig, als je besluit het niet van een Live CD of live USB stick te draaien, maar het wilt installeren op harde schijf of op een persistent USB stick. Het gebruiken van een persistent Kali installatie is natuurlijk logischer, je wilt immers van de voordelen van een rolling release profiteren door de laatste software bij de hand te hebben.