Kritieke kwetsbaarheden in WordPress-plug-ins die in het wild worden uitgebuit

DiversenDec 19, 2021

Door bugs in WordPress konden hackers mogelijk beheerdersrechten verkrijgen en gegevens van kwetsbare websites opschonen

Bug in WordPress staat externe aanvallers toe op sitesNieuwe accounts met beheerdersrechten kunnen worden aangemaakt en gebruikt voor volledige website-overname. Hackers maakten actief gebruik van kritieke bugs in WordPress-plug-ins waardoor ze de inhoud van websites volledig konden controleren en zelfs konden verwijderen. Er is een zero-day kwetsbaarheid ontdekt in de WordPress-plug-in ThemeREX Addons.[1] Wanneer de fout wordt misbruikt, kunnen aanvallers accounts maken met beheerdersrechten, zodat websites kunnen worden overgenomen.

De specifieke plug-in is volgens het beveiligingsbedrijf Wordfence op minstens 44.000 websites geïnstalleerd, dus die sites zijn allemaal kwetsbaar.[2] De plug-in biedt 466 commerciële WordPress-thema's en -sjablonen te koop, zodat klanten thema's gemakkelijker kunnen configureren en beheren.

De plug-in werkt door een WordPress REST-API-eindpunt in te stellen, maar zonder te controleren of opdrachten die naar deze REST-API worden verzonden, afkomstig zijn van de site-eigenaar of een geautoriseerde gebruiker of niet. Dit is hoe externe code kan worden uitgevoerd door elke niet-geverifieerde bezoeker.

[3]

Een andere bug met betrekking tot de WordPress-thema's werd gevonden in plug-ins van ThemeGrill die websitethema's verkoopt aan meer dan 200.000 sites. Door de fout konden aanvallers de specifieke payload naar die kwetsbare sites sturen en gewenste functies activeren nadat ze beheerdersrechten hadden verkregen.[4]

Het schema van getrojaanse WordPress-thema's die leidden tot gecompromitteerde servers

Volgens analyse maakten dergelijke fouten het mogelijk om ten minste 20.000 webservers over de hele wereld in gevaar te brengen. Het heeft mogelijk geleid tot malware-installaties en blootstelling aan kwaadaardige advertenties. Meer dan een vijfde van deze servers is van middelgrote bedrijven die minder geld hoeven te maken meer aangepaste websites, in tegenstelling tot grotere bedrijven, dus dergelijke beveiligingsincidenten zijn ook belangrijker in schade.

Het profiteren van een dergelijk veelgebruikt CMS is mogelijk al in 2017 begonnen. Hackers kunnen hun doelen bereiken en onbewust verschillende websites compromitteren door een gebrek aan veiligheidsbewustzijn van de slachtoffers. Naast de genoemde kwetsbare plug-ins en andere gebreken, zijn er 30 websites ontdekt die WordPress-thema's en plug-ins aanbieden.[5]

Getrojaniseerde pakketten werden geïnstalleerd en gebruikers verspreiden kwaadaardige bestanden zonder zelfs maar te weten dat aanvallers door dergelijk gedrag volledige controle over de webserver kunnen krijgen. Van daaruit is het eenvoudig om beheerdersaccounts toe te voegen, webservers te herstellen en zelfs toegang te krijgen tot bedrijfsbronnen.

Bovendien kan malware die deel uitmaakt van dergelijke aanvallen:

  • communiceren met C&C-servers die eigendom zijn van hackers;
  • bestanden downloaden van de server;
  • cookies toevoegen om verschillende bezoekersgegevens te verzamelen;
  • informatie verzamelen over de getroffen machine.

Criminelen die bij dergelijke plannen betrokken zijn, kunnen ook trefwoorden, kwaadaardige advertenties en andere technieken gebruiken:

In veel gevallen waren de advertenties volledig goedaardig en zouden ze de eindgebruiker doorverwijzen naar een legitieme dienst of website. In andere gevallen hebben we echter pop-upadvertenties waargenomen die de gebruiker ertoe aanzetten mogelijk ongewenste programma's te downloaden.

WordPress is het populairste CMS ter wereld

De recente rapporten laten zien dat het gebruik van een CMS niet langer optioneel is en in opkomst is. Vooral voor enterprise-bedrijven en headless-applicaties die inhoud controleren die gescheiden is van de initiële weergavelaag of de front-end gebruikerservaring.[6] Uit het onderzoek blijkt dat in vergelijking met andere contentmanagementsystemen het gebruik van WordPress is toegenomen.

Bovendien profiteren ondernemingen duidelijk van het gebruik van meer dan één CMS tegelijk, dus deze praktijk wordt steeds populairder. Dat is buitengewoon handig als het gaat om problemen met kwetsbaarheden en bugs of andere zaken met betrekking tot de diensten, de privacy en beveiliging van uw website en gevoelige gegevens.

Mogelijke stappen

Onderzoekers adviseren organisaties en beheerders om:

  • vermijd het gebruik van illegale software;
  • Windows Defender of verschillende AV-oplossingen inschakelen en bijwerken;
  • blijf weg van het hergebruiken van wachtwoorden voor accounts;
  • besturingssysteem regelmatig bijwerken
  • vertrouwen op patches die beschikbaar zijn voor sommige van die kwetsbaarheden en updates voor bepaalde plug-ins.