Een backdoor in een populaire WordPress-plugin voor scholen geeft aanvallers volledige controle over de websites van gebruikers.

Securityonderzoekers van Jetpack vonden de backdoor in de premiumversie van School Management, een WordPress-plugin voor de websites van scholen. Volgens Jetpack is de backdoor sinds versie 8.9 aanwezig. De versie werd in augustus 2021 gepubliceerd.

Teamleden van WordPress.com informeerde Jetpack over verdachte code op de websites van School Management-gebruikers. Na een analyse bleek de code opzettelijk geplaatst om de controle van websites aan aanvallers over te dragen.

Het is niet duidelijk hoeveel websites dat precies zijn. De developer van School Management beweert dat de plugin door 340.000 klanten wordt gebruikt. De kwetsbaarheid is daarentegen alleen aanwezig is School Management Pro. Er is geen data over de premiumversie beschikbaar.

“We vroegen de ontwikkelaar naar meer informatie”, deelt Jetpack. “Zonder succes, want de ontwikkelaar zegt niet te weten wanneer en hoe de code in hun software terecht is gekomen.”

Geen commentaar

“De code is op zichzelf niet zo interessant”, voegt Jetpack toe. “Het is een typische backdoor, geïnjecteerd in een controlefunctie van de plugin. Aanvallers krijgen de mogelijkheid om PHP-code uit te voeren op websites die de plugin hebben geïnstalleerd.”

De patch is inmiddels beschikbaar. Gebruik je de plugin, dan is het noodzakelijk om de update zo snel als mogelijk door te voeren. Naar verwachting proberen cybercriminelen verouderde versies op de korte termijn aan te vallen.

WordPress security

WordPress is razendpopulair onder eindgebruikers en developers. Developers kunnen op eigen initiatief plugins ontwikkelen en aanbieden. Het aanbod is breed maar riskant. Sommige veelgebruikte plugins worden door piepkleine teams onderhouden. Niet alle ontwikkelaars hebben capaciteit voor securitymaatregelen als pentesting. Eerder in 2022 liepen 600.000 websites risico door een kritieke kwetsbaarheid in Essential Addons for Elementor.