Ernstige kwetsbaarheden in twee WordPress-plugins misbruikt

Aanvallers hebben ernstige kwetsbaarheden in twee veelgebruikte WordPress-plugins in het wild misbruikt. Het gaat om de plugins Easy WP SMTP en Social Warfare, die respectievelijk 300.000 en 70.000 keer geïnstalleerd zijn. De fouten zijn al opgelost, maar die patches zijn nog niet overal geïnstalleerd.

Easy WP SMTP werd op 17 maart gefixt, schrijft Ars Technica. De plugin werd vorige week echter net geen 135.000 keer gedownload. Social Warfare is sinds het publiceren van een patch afgelopen vrijdag minder dan 20.000 keer gedownload. Websites die een van de plugins gebruiken, zouden deze direct uit moeten schakelen en vervolgens moeten controleren of ze versie 1.3.9.1 van Easy WP SMTP en 3.5.3 van Social Warfare hebben geïnstalleerd.

De eerste berichten van het misbruik van Easy WP SMTP verschenen op 17 maart. Via de kwetsbaarheid is het mogelijk om malafide administrator-accounts aan te maken op kwetsbare websites. Twee groepen zouden de aanvallen uitvoeren. Eén groep stopt na het aanmaken van de administrator-accounts, de andere gebruikt de accounts om de website aan te passen om bezoekers naar malafide websites om te leiden.

Social Warfare

Aanvallen tegen Social Warfare maken serieuze hacks op kwetsbare websites mogelijk. Aanvallers misbruiken een fout waarmee iedereen die een kwetsbare site bezocht de plugin-instellingen kon overschrijven. Die mogelijkheid wordt door de aanvallers gebruikt om de site kwetsbaar te maken voor een cross-site scripting-aanval die malafide payloads an Pastebin-pagina’s haalt en uitvoert in de browsers van bezoekers.

De payloads stuurt bezoekers door naar malafide websites. Twee van die pagina’s moeten op het moment van schrijven nog offline gehaald worden. De domeinen zouden onderdeel zijn van een grotere campagne voor het omleiden van bezoekers, en worden op hetzelfde IP-adres gehost, namelijk 176.123.9.52. Mensen die omgeleid worden naar deze domeinen, worden vervolgens doorgestuurd naar een serie malafide websites. Het gaat om onder meer pornografische sites en tech support-scams.