Aanvallers slagen er nog altijd in om WordPress- en Magento-sites via een oud beveiligingslek in Adminer over te nemen en van kwaadaardige code te voorzien die bezoekers naar malafide websites doorstuurt. Dat laat securitybedrijf Sucuri in een analyse weten.
Adminer is een populaire tool voor het beheren van MySQL- en PostgreSQL-databases. Een oude kwetsbaarheid in Adminer maakt het mogelijk voor aanvallers om bestanden op de server te lezen. Zo is het bijvoorbeeld mogelijk om bestanden uit te lezen die inloggegevens voor de database bevatten. Met deze gegevens kan de website worden overgenomen en aangepast. Om de aanval uit te voeren moet de aanvaller Adminer-bestanden vinden die zich in de root-directory van de website bevinden en door de beheerder zijn achtergelaten.
Vervolgens gebruikt de aanvaller deze bestanden om verbinding met een database op hun eigen server te maken, in plaats van de lokale database van de website. Zodra de verbinding is opgezet kan de aanvaller de inhoud van lokale bestanden op de server uitlezen. Sinds juni 2018 is er een update voor de Adminer-kwetsbaarheid beschikbaar. Toch zijn er nog altijd websites die verouderde Adminer-versies draaien en de bestanden in publiek toegankelijke directories hebben achtergelaten.
Sucuri ontdekte onlangs een nieuwe aanvalscampagne waarbij WordPress- en Magento-sites via verouderde Adminer-installaties worden overgenomen. Aanvallers voegen vervolgens kwaadaardige code toe die bezoekers automatisch doorstuurt naar malafide websites. Het gaat dan bijvoorbeeld om helpdeskfraude, malafide browsermeldingen en zogenaamd gewonnen geldprijzen. In het geval van WordPress-sites maken de aanvallers ook een beheerder aan en installeren een plug-in waarmee ze willekeurige php-code op de website kunnen uitvoeren.
Beheerders krijgen dan ook het advies om Adminer-bestanden niet voor het publiek achter te laten en na gebruik te verwijderen. In het geval de website al is gecompromitteerd moeten er verschillende stappen worden genomen, zoals het verwijderen van het Adminer-script en wijzigen van het database-wachtwoord. "Ironisch genoeg is het gebruik van de Adminer-tool één van de manieren om dit te doen", zegt onderzoeker Denis Sinegubko, die adviseert om in dit geval wel de laatste versie te gebruiken en na het beheer de Adminer-scripts te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.