Een kritieke bug in Really Simple Security laat aanvallers toe om in te loggen zonder wachtwoord wanneer 2FA is ingeschakeld. Het lek is zo eenvoudig om uit te buiten, dat patchen de absolute topprioriteit moet zijn.
De populaire plug-in Really Simple Security is vatbaar voor een uitermate kritieke bug. Dat ontdekte beveiligingsspecialist Wordfence. Wordfence verzorgt al twaalf jaar beveiliging voor WordPress, en noemt de kwetsbaarheid de meest ernstige die in al die tijd de revue is gepasseerd. Ongeveer vier miljoen WordPress-sites vertrouwen op Really Simple Security.
De impact van de bug is groot. Door een foutief lijntje code bij de 2FA-implementatie controleert de plug-in in bepaalde gevallen alleen maar of een gebruiker bestaat. Wanneer de parameter ‘login_nonce’ als ongeldig terugkomt, gaat de plug-in een gebruiker toch authenticeren, enkel gebaseerd op het ID.
De bug doet zich ironisch genoeg voor wanneer gebruikers van de plug-in 2FA hebben geïmplementeerd en ze dus correct best practices hebben geïmplementeerd voor meer beveiliging. De bug in kwestie gaat door het leven als CVE-2024-10924 en treft versies 9.0.0 tot 9.1.1.1 van zowel de Free, Pro en Pro Multisite-edities.
Automatische updates
Versie 9.1.2 van de Really Simple Security-plug-in bevat de bug niet meer. Die update kwam uit om 12 november voor de gratis gebruikers en 14 november voor gebruikers van de Pro-editie. De ontwikkelaars hebben samengewerkt met WordPress om de update geforceerd uit te rollen en dat zal in veel gevallen ook gelukt zijn, maar zeker niet bij iedereen.
lees ook
Kwetsbare WordPress plug-in bestookt met miljoenen aanvallen
Het is essentieel om onmiddellijk te controleren of versie 9.1.2 van Really Simple Security draait. De bug is immers eenvoudig uit te buiten door criminelen, die het proces zelfs kunnen automatiseren. Wordfence Premium, Care en Response hebben een firewall-regel gekregen die misbruik tegenhoudt. Die is beschikbaar voor betalende gebruikers. Gratis Wordfence-klanten krijgen de firewall-regel ook op 6 december, maar het is geen goed idee daarop te wachten.
Is jouw website beveiligde via Really Simple Security (vroeger Really Simple SSL)? Kijk dan onmiddellijk na of versie 9.1.2 al geïnstalleerd is.