Hackers resetten wachtwoorden voor admin-accounts op WordPress via een zero-day in de Easy WP SMTP plugin die is geïnstalleerd op meer dan 500.000 websites. Inmiddels is er een patch beschikbaar voor de zero-day.
Met de Easy WP SMTP plugin kunnen website-eigenaren de SMTP instellingen voor de uitgaande e-mails vanuit hun website configureren.
Volgens een team bij Ninja Technologies Network (NinTechNet) bevatten Easy WP SMTP 1.4.2 en oudere versies van de plugins een functie die debug logs creëert voor alle e-mails die verstuurd worden via de website. De plugin slaat deze logs op in een map.
“De map van de plugin heeft geen index.html bestand, waardoor hackers het log kunnen vinden en inzien”, zegt Jerome Bruandet van NinTechNet.
Hoe maken hackers gebruik van de zero-day?
Volgens Bruandet voeren hackers geautomatiseerde aanvallen uit op sites waar kwetsbare versies van de SMTP-plugin zijn geïnstalleerd. Hackers gebruiken de zero-day om het admin account te identificeren en het wachtwoord te resetten.
Bij het resetten van een wachtwoord, wordt er een e-mail met de reset-link verstuurd naar het admin-account. Deze e-mail wordt ook opgeslagen in het Easy WP SMTP debug log. Op die manier krijgen hackers toegang tot de reset-link en kunnen ze het admin account overnemen.
Automatisch installeren van patches
De developers van de plugin losten de zero-day op door het debug log te verplaatsen naar de WordPress logs map. In deze map is de nodige bescherming wél aanwezig. Het is aan te raden om de gepatchte versie van Easy WP SMTP (1.4.4) zo snel mogelijk te installeren, aangezien hackers de zero-day actief misbruiken.
Dit is de tweede keer dat er een zero-day wordt ontdekt in de Easy WP SMTP plugin. De eerste zero-day werd ontdekt in maart 2019, toen hackers de kwetsbaarheid gebruikten om backdoor admin accounts te creëren. Tussen de vorige zero-day en nu is er gelukkig wel iets veranderd.
Sinds augustus 2020, met de lancering van WordPress 5.5, is het mogelijk om plugins automatisch te updaten. Dankzij deze functie draait een website altijd op de laatste versie van een plugin. Patches voor zero-days worden automatisch geïnstalleerd.
Het is momenteel nog onbekend hoeveel van de meer dan 500.000 Easy WP SMTP gebruikers de patch heeft geïnstalleerd. Volgens de statistieken op WordPress.org is dat aantal nog niet bijster hoog. Er zijn dus nog altijd veel websites kwetsbaar zijn voor aanvallen.