Een beveiligingslek in een populaire plug-in voor WordPress wordt actief gebruikt door aanvallers om kwetsbare websites met malware te infecteren, die onder andere wachtwoorden steelt van gebruikers die inloggen. Iets wat ook klanten van webwinkels kan raken, zo waarschuwt securitybedrijf Defiant.
De kwetsbaarheid bevindt zich in de extensie File Manager waarmee WordPress-beheerders eenvoudig bestanden van hun website kunnen beheren zonder hiervoor van FTP gebruik te maken. Het beveiligingslek maakt het mogelijk voor aanvallers om bijvoorbeeld een webshell te uploaden waarmee er toegang tot de website kan worden verkregen. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, werd al aangevallen voordat een beveiligingsupdate beschikbaar was.
De afgelopen dagen proberen aanvallers op grote schaal misbruik van de kwetsbaarheid te maken. Zo zag Defiant, aanbieder van de Wordfence-plug-in voor WordPress, aanvallen tegen 2,6 miljoen websites voorbijkomen. Bij de nu waargenomen aanvallen installeren de aanvallers een backdoor en proberen misbruik van de kwetsbaarheid door andere aanvallers tegen te gaan.
Eén aanvaller installeert ook kwaadaardige code die wachtwoorden steelt van gebruikers die op de besmette WordPress-site inloggen. Het kan dan ook gaan om op WordPress-gebaseerde webwinkels die van WooCommerce gebruikmaken. Zodoende kunnen de wachtwoorden van klanten die inloggen in handen van de aanvaller komen. "Deze inloggegevens kunnen vervolgens worden verkocht of worden gebruikt om op andere accounts in te loggen", zegt onderzoeker Ram Gall.
Getroffen WordPress-sites moeten dan ook eerst hun website opschonen voordat ze gebruikers informeren dat hun wachtwoorden mogelijk zijn gestolen. "Met name als je een webshop hebt", laat Gall weten. Op het moment van schrijven draaien nog zeker 140.000 WordPress-sites een kwetsbare versie van File Manager, zo blijkt uit cijfers van WordPress zelf. Het aantal kan nog veel hoger liggen, want van 31,5 procent van de meer dan 600.000 websites waar File Manager is geïnstalleerd wordt het versienummer niet vermeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.