Kwetsbaarheden in twee veelgebruikte WordPress-plugins, ‘Easy WP SMTP’ en ‘Social Warfare’, worden in het wild misbruikt. Via de exploits kunnen aanvallers malafide beheerdersaccounts maken op kwetsbare websites, aldus Ars Technica.
Websites die gebruik maken van deze plug-ins worden geadviseerd deze uit te schakelen en bij te werken naar versie 1.3.9.1 van Easy WP SMTP en 3.5.3 van Social Warfare.
De maker van de plug-in Social Warfare publiceerde afgelopen vrijdag een patch. Vorige week zondag verscheen er al een update voor Easy WP SMTP. Toch moeten veel websites de fixes nog installeren. Downloadcijfers tonen aan dat slechts 165.000 van de 300.000 Easy WP SMTP-gebruikers de patch hebben gedownload. Een kleine 20.000 van de ruim 70.000 gebruikers installeerde de patch van Social Warfare.
Beveiligingsbedrijf NinTechNet maakte vorige week zondag al melding van aanvallers die misbruik maken van de kwetsbaarheid in Easy WP SMTP. Nog dezelfde dag werd er een patch beschikbaar gesteld. Defiant, een ander beveiligingsbedrijf, meldde woensdag dat, ondanks de patch, de kwetsbaarheid nog steeds actief werd misbruikt.
Twee groepen
Volgens Defiant zijn twee groepen verantwoordelijk voor de aanvallen. Waar de ene groep zijn acties stopt na het maken van beheerdersaccounts, gebruikt de andere de frauduleuze accounts om siteveranderingen aan te brengen. Hierdoor worden bezoekers doorgestuurd naar malafide websites.
Beide groepen gebruiken dezelfde aanvalscode, die aanvankelijk als proof-of-concept van een exploit werd gepubliceerd door NinTechNet.
Schadelijke payloads
Aanvallen tegen Social Warfare zouden momenteel serieuze hacks mogelijk maken tegen kwetsbare sites, aldus Defiant. Aanvallers zouden een fout misbruiken, waardoor iedereen die een kwetsbare site bezoekt de instellingen van een plug-in kan overschrijven. De aanvallers gebruiken die mogelijkheid om de site kwetsbaar te maken voor een cross-site scriptingaanval, die schadelijke payloads van Pastebin-pagina’s haalt en uitvoert in de browser van een bezoeker.
De payloads leiden bezoekers om naar kwaadaardige sites. “Bezoekers die naar deze adressen worden doorgestuurd, worden omgeleid naar een reeks kwaadwillende sites en hun individuele activiteiten worden bijgehouden via cookies. Rapporten hebben verschillende mogelijke omleidingsdoelen aangegeven, van pornografie tot tech support scams”, aldus Mikey Veenstra, onderzoeker bij Defiant.
Geforceerd stoppen
Als je als gebruiker wordt omgeleid naar een kwaadwillende site, is het aan te raden de browser of het browsertabblad geforceerd te stoppen. Als dit niet werkt, is het aan te raden de webpagina met rust te laten en hulp in te schakelen. Instructies over het bellen van getoonde telefoonnummers of software die gedownload zou moeten worden, dienen te allen tijde te worden genegeerd.
Gerelateerd: WordPress voorziet versie 5.1 van proactieve Site Health-tool