Exploit in plugin zorgt voor kwetsbaarheid in meer dan 350.000 WordPress sites

wordpress
Alexander Gounder (CC0)

NinTechNet, een security bedrijf in Bangkok was een van de eerste die naar buiten bracht dat er aanvallen plaatsvinden op WordPress websites die gebruik maken van de File Manager plugin - een plugin met meer dan 700.000 actieve installaties. Dit bericht kwam enkele uren nadat de exploit waarvan de aanvallers gebruik maken, was gepatchet.

Met behulp van de exploit kunnen aanvallers webshells uploaden die verborgen zijn in een afbeeldingsbestand. Via die route kunnen ze elk gewenst commando uitvoeren in de plugins/wp-file-manager/lib/files directory. Door in die folder vervolgens php-scripts te uploaden, kunnen de hackers ook buiten die beperkte omgeving aanvallen uitvoeren.

Blijkens een e-mail aan Ars Technica van NinTechNet CEO Jerome Bruandet beperken de aanvallen zich op dit moment tot het installeren van backdoors voor latere toegang. Opmerkelijk daarbij is dat de aanvallers deze backdoors beschermen met een wachtwoord, zodat alleen zij er gebruik van kunnen maken. Daarnaast ziet men dat een alternatieve file manager wordt geüpload, "FilesMan", een tool die vaker door hackers wordt gebruikt en moeilijk te vinden is. 

Security bedrijf Wordfence meldde dat het meer dan 450.000 hackpogingen had geblokkeerd in de afgelopen paar dagen. Voorbeelden van malicieuze scripts die het noemt hebben namen als hardfork.php, hardfind.php en x.php. 

De kwetsbaarheid in File Manager komt voor uit de manier waarop deze een extra, open source bestandsbeheer library gebruikt met de naam elFinder. Deze kwetsbaarheid zit in versies 6.0 tot 6.8 van File Manager. Op basis van WordPress statistieken zijn momenteel 52% van de installaties nog kwetsbaar - meer dan de helft van de 700.000 sites die gebruik maken van deze plugin. 

Websites die gebruik maken van WordPress met de FileManager plugin, moeten deze zo snel mogelijk updaten naar 6.9, en controleren of er geen aanvallen succesvol hebben plaatsgevonden.

Related:

Copyright © 2020 IDG Communications, Inc.

  
Shop Tech Products at Amazon