200.000 WordPress-sites gewaarschuwd voor actief aangevallen lek in plug-in
De beheerders van meer dan tweehonderdduizend WordPress-sites zijn gewaarschuwd voor een kritieke kwetsbaarheid in een plug-in op hun website waar aanvallers actief misbruik van maken. Sinds 6 oktober is er een beveiligingsupdate voor het beveiligingslek in Royal Elementor Addons and Templates beschikbaar, maar de aanvallen vinden al sinds augustus plaats, aldus securitybedrijf Wordfence.
Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Royal Elementor. Deze plug-in is op meer dan tweehonderdduizend WordPress-sites geïnstalleerd.
Een kritieke file upload kwetsbaarheid in de plug-in, aangeduid als CVE-2023-5360, maakt het mogelijk voor een ongeauthenticeerde aanvaller om malafide PHP-bestanden, zoals een backdoor, naar de website te uploaden. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Volgens Wordfence is er bewijs dat de exploit voor de kwetsbaarheid eind juli al in ontwikkeling was, waarbij de eerste aanvallen eind augustus plaatsvonden. Op 3 oktober was er een piek in de aanvallen. Drie dagen later kwam de ontwikkelaar van de plug-in met een update (1.3.79) om het probleem te verhelpen. Nog geen helft van de kwetsbare websites heeft de patch echter geïnstalleerd, zo blijkt uit cijfers van WordPress. Beheerders die dit nog niet hebben gedaan worden opgeroepen de update alsnog te installeren.
Houdt daarom thema's en plug-ins voortdurend in het snotje.
De besmettingen vinden plaats op de server, niet op de client. En die server is meestal LAMP.
maar dat kan wel degelijk gevolgen hebben voor onvoorzichtige bezoekers van zo'n website.
Of zie ik dat ook verkeerd?
Ons sal nie vergeet wat die hacker aan ons gedoen het nie.
maar dat kan wel degelijk gevolgen hebben voor onvoorzichtige bezoekers van zo'n website.
Of zie ik dat ook verkeerd?
Ons sal nie vergeet wat die hacker aan ons gedoen het nie.
Kan hoeft niet.
Een addon voor de plugin Elementor bevat een kwetsbaarheid waardoor er een injectie mogelijk is om een administrator account te maken. Vanaf het moment dat er een admin account beschikbaar is kan de andere kant zowat alles doen in de wordpress omgeving. Dat zegt echter niks over de beveiliging van de webserver in gebruik ik zie namelijk niet hieruit dat de kwetsbaarheid zich buiten de account container van de gebruiker kan begeven.
Verder wordt er geen info vrijgegeven over wat voor verdere aanvallen zijn geregistreerd na infectie. Het kan illegale clicks revenue zijn, malware uploader, phising, defacing noem maar op dat is aan de aanvaller om te bepalen.
Gekeken naar het extreem simpele connectie script lijkt dit een zeer amateurische beveiliging fout te zijn geweest in de addon.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
