Hackers scannen naar sites die gebruik maken van de Fancy Product Designer plugin. Een zero day in deze plugin maakt het mogelijk voor kwaadwillenden om malware te uploaden.
Met Fancy Product Designer kunnen WordPress-gebruikers de producten die ze verkopen via WooCommerce of Shopify customiseren met hun eigen graphics en content. Volgens de verkoopstatistieken is Fancy Product Designer geïnstalleerd op meer dan 17.000 websites.
De kwetsbaarheid is aanwezig in de WordPress-versie van de plugin die is gericht op WooCommerce-installaties. De Shopify-versie blokkeert potentiële aanvallen op de bug. Shopify heeft namelijk een strengere controle voor sites die op het platform draaien.
Wat houdt de kwetsbaarheid in?
De zero day in Fancy Product Designer is een ernstige remote code execution (RCE) kwetsbaarheid. Wordfence beveiligingsanalist Charles Sweethill was de eerste die de fout ontdekte.
Aanvallers die de fout in Fancy Product Designer misbruiken, kunnen ingebouwde checks omzeilen die normaal kwaadaardige bestanden blokkeren. Zodra een aanvaller door deze controlelaag heen is, kan hij uitvoerbare PHP-bestanden toepassen op sites waar de plugin is geïnstalleerd. Hierdoor kan hij kwetsbare site volledig overnemen.
Oplossing
“Doordat deze kwetsbaarheid actief wordt aangevallen, maken we alvast minimale details bekend. De bug is nog niet gepatcht, maar we willen de community alvast waarschuwen om veiligheidsmaatregelen te nemen en hun sites te beschermen”, laat Wordfence weten in een statement.
De kwetsbaarheid wordt nog slechts op kleine schaal misbruikt. Wel is de aanval al een tijdje gaande. De aanvallen gericht op duizenden sites die gebruik maken van de Fancy Product Designer-plugin begonnen meer dan twee weken geleden al, op 16 mei 2021.
Doordat hackers de kwetsbaarheid actief misbruiken, krijgt hij de status ‘kritiek’. Het is aan te raden dat gebruikers de plugin tijdelijk verwijderen totdat de patch beschikbaar is.
Er zijn verschillende manieren om te zien of een site reeds is aangevallen. Zo voegen aanvallers een bestand toe aan ofwel de ‘wp-admin’ map of de ‘wp-content/plugins/fancy-product-designer/inc’ map. Het merendeel van de aanvallen komt van dezelfde IP-adressen, wat ook een indicator kan zijn voor een mogelijke aanval. In het rapport over de bug geeft laat Wordfence in details zien hoe je een aanval kunt detecteren.