Aanvallers maken zeker sinds 26 augustus gebruik van een zerodaylek in de plug-in BackupBuddy voor het aanvallen van WordPress-sites. BackupBuddy is een plug-in voor het beheer van back-ups en maakt het eenvoudig om back-ups lokaal of in de cloud op te slaan.
De optie om back-ups lokaal op te slaan bevat een kwetsbaarheid (CVE-2022-31474) waardoor een ongeauthenticeerde aanvaller elk bestand op de server kan downloaden. Bij de nu waargenomen aanvallen downloaden aanvallers onder andere bestanden zoals wp-config.php, passwd en .accesshash. De informatie in deze bestanden is te gebruiken om de WordPress-site verder te compromitteren. Sinds 2 september is er een update (versie 8.7.5) die het probleem verhelpt.
BackupBuddy claimt dat het sinds 2010 één miljoen WordPress-sites beschermt. Securitybedrijf Wordfence vermoedt dat het aantal actieve installaties rond de 140.000 ligt. Aanvallers maken inmiddels op grote schaal misbruik van de kwetsbaarheid, waarbij Wordfence naar eigen zeggen al zo'n vijf miljoen aanvallen heeft waargenomen. Eigenaren van een gecompromitteerde website wordt aangeraden om hun databasewachtwoord te resetten, alsmede WordPress-salts en andere secrets in wp-config.php.
Deze posting is gelocked. Reageren is niet meer mogelijk.