Een beveiligingslek in de Social Warfare-plug-in voor WordPress dat sinds vorige week wordt gebruikt om kwetsbare websites aan te vallen blijkt veel erger te zijn dan in eerste instantie werd aangenomen. Het geeft aanvallers namelijk ook de mogelijkheid om websites volledig over te nemen.

Social Warfare is een plug-in voor het delen van de content van WordPress-sites op social media. Het is op meer dan 70.000 websites geïnstalleerd. Websites die van de plug-in gebruikmaken werden vorige week het doelwit van een zeroday-aanval via een onbekend beveiligingslek. Aanvallers gebruikten de kwetsbaarheid voor het injecteren van JavaScript-code in de "social share" links op WordPress-sites. Deze code word uitgevoerd in de browser van bezoekers en stuurt ze door naar spamsites. Naar aanleiding van de aanvallen kwamen de ontwikkelaars van de plug-in met een beveiligingsupdate (versie 3.5.3).

Nu blijkt dat de verholpen kwetsbaarheid aanvallers ook de mogelijkheid biedt om willekeurige php-code uit te voeren en zo de website over te nemen, zo meldt securitybedrijf Wordfence. Een aanvaller kan zo een backdoor installeren, aanvullende beheerders aanmaken en systeemcommando's uitvoeren. Volgens de onderzoekers van het securitybedrijf zal dit waarschijnlijk voor een nieuwe golf van aanvallen zorgen. Webmasters krijgen dan ook het dringende advies om te updaten naar Social Warfare versie 3.5.3 of nieuwer.