Een bug in een WordPress plug-in zorgt ervoor dat duizenden websites in het vizier kunnen komen van cybercriminelen.
Een populaire WordPress plug-in bevat een kritieke bug die aanvallers toelaat de controle over te nemen. Het lek kreeg het label CVE-2021-24284 mee. Het gaat over websites die de add-on Kaswara Modern WPBakery Page Builder draaien. Volgens WordFence zijn al meer dan anderhalf miljoen websites gescand op add-on. Zodra de criminelen binnen raken, dan uploaden ze malafide JavaScript-files en kunnen ze de volledige website van een organisatie overnemen.
WordFence onthulde de bug drie maanden geleden en waarschuwt nu opnieuw door het stijgend aantal aanvallen. Naar eigen zeggen blokkeerde de WordPress security shop gemiddeld meer dan 443.000 aanvallen per dag op gebruikerssites.
Alle versies zijn vatbaar
Software-ontwikkelaars hebben de bug nooit gepatcht en is nu ook afgesloten. Daardoor komen alle versies in het aanmerking voor een aanval. Tussen naar schatting 4.000 en 8.000 websites hebben de plug-in geïnstalleerd. Op 1,6 miljoen unieke sites is een aanval uitgevoerd al was bij de overgrote meerderheid de add-on uitgeschakeld.
De meeste aanvallen beginnen met een POST-verzoek aan /wp-admin/admin.ajax.php via de uploadFontIcon AJAX. Eens binnen uploaden de criminelen een malafide bestand op de website. In de logs kan deze query staan: /wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1. Bij de meeste aanvallen proberen de criminelen ook een zip-bestand (a57bze8931.zip) te uploaden. Eens geïnstalleerd, kunnen ze schadelijke software installeren.
Verwijderen is de boodschap
Draait de add-on bij jou nog, dan is dit het moment om die te verwijderen. Ook WordFence gaf de uitdrukkelijke raad om Kasware Modern WPBakery Page Builder add-ons te verwijderen. “Het is hoogst onwaarschijnlijk dat er ooit een patch komt voor deze gevaarlijke zwakte. Sommige aanvallen vertonen ook tekenen van de NDSW trojan die bezoekers omleidt naar dubieuze websites”, klinkt het bij WordFence.