Ruim 160.000 websites werden de afgelopen drie weken blootgesteld aan kritische zeroday-kwetsbaarheden in WordPress-plugins. Kwetsbaarheden in Yuzo Related Posts, Yellow Pencil Visual Theme Customizer en Social Warfare stelden hackers in staat onwetende bezoekers door te sturen naar kwaadwillende sites. Een beveiligingsprovider zou opzettelijk de fouten hebben verspreid, voordat patches beschikbaar waren.
Zo’n 60.000 websites zouden de plug-in voor Yuzo Related Posts hebben geïnstalleerd, 30.000 die van Yellow Pencil Visual Theme Customizer en 30.000 sites zijn voorzien van de plug-in voor Social Warfare. De zelfbenoemde beveiligingsprovider wilde bewijzen dat vertragingen door ontwikkelaars van plug-ins en sitebeheerders bij het publiceren en installeren van patches te lang op zich laten wachten. Een gegeven dat ook bij dit debacle een rol zou hebben gespeeld, aldus Ars Technica.
In alle gevallen was er sprake dat een kwaadwillende site genaamd Plugin Vulnerabilities gedetailleerde informatie publiceerde over de onderliggende kwetsbaarheden. De informatie zou proof-of-concept exploit codes en technische details omvatten om kwetsbare sites te hacken. Een aantal van deze codes zijn volgens Ars Technica ook daadwerkelijk gebruikt tijdens aanvallen.
Waarschuwingen genegeerd
Dat de beveiligingsprovider een punt wilde maken, bleek wel uit de begeleidende tekst bij de Plugin Vulnerabilities zeroday berichten. Iets wat hij of zij in een verklaring aan Ars Technica alleen zou hebben gedaan om de ontwikkelaars op de hoogte te stellen. Wel pas nádat de zerodays waren gepubliceerd. “De moderators van het ondersteuningsforum van WordPress Support gaan door met ongepast gedrag. Ons huidig openbaarmakingsbeleid is om kwetsbaarheden volledig te onthullen en daarna de ontwikkelaar via het WordPress Support Forum te waarschuwen. Alleen verwijderen de moderators vaak deze berichten, zonder iemand hierover te informeren”, aldus de auteur.
Zo zouden er volgens hem of haar in dit geval 11 dagen overheen zijn gegaan, alvorens de Yuzo Related Posts zeroday kwetsbaarheid publiekelijk bekend werd gemaakt. Volgens de auteur zouden de exploits niet mogelijk zijn geweest, als de ontwikkelaars tijdig de fout zou hebben gepatcht.
Geen spijt
Echt spijt lijkt de auteur volgens Ars Technica niet te hebben. Ondanks dat onschuldige eindgebruikers en website-eigenaren door de exploits mogelijk schade hebben geleden. “We hebben geen directe kennis van wat hackers doen, maar het lijkt waarschijnlijk dat onze onthullingen tot uitbuiting zouden hebben geleid. Deze volledige onthullingen zouden al lang geleden zijn gestopt, als de moderatie van het ondersteuningsforum eenvoudig was opgeschoond. Als ze gewoon zouden hebben afgesproken om de boel op te ruimen, had de eventuele schade voorkomen kunnen worden.”
De auteur weigert zijn of haar naam te geven of Plugin Vulnerabilities te identificeren. Hij of zij laat enkel los, dat het een serviceprovider is die kwetsbaarheden in WordPress-plug-ins vindt. “We proberen hackers voor te blijven, omdat onze klanten ons betalen hen te waarschuwen voor kwetsbaarheden in de plug-ins die ze gebruiken. Bovendien is het natuurlijk beter om ze te waarschuwen vóórdat ze worden uitgebuit, in plaats van daarna.”
Lees ook: Twee kwetsbaarheden in WordPress-plugins worden actief uitgebuit