Hackers maken actief misbruik van zero-days in WordPress

Abonneer je gratis op Techzine!

Meer dan 35 procent va de websites draait op WordPress. Dit enorme aanvalsoppervlak wordt de laatste tijd meer aangevallen door hackers, die bugs in plugins proberen te misbruiken. Een deel van deze kwetsbaarheden zijn zero-days, zwakke punten die bij de makers va de plugins onbekend zijn.

Volgens ZDNet zijn een aantal securityfirma’s die zich specialiseren in WordPress naar buiten gekomen met aanvallen van hackers die de bugs proberen te misbruiken. Veel van die aanvallen zijn aanvallen op bugs die recentelijk gefixt zijn, waarbij hackers hopen dat bedrijven de patches nog niet hebben doorgevoerd. Op die manier maken ze dus misbruik van de vertraging die bij bedrijven kan zitten in het patchen.

Getroffen plugins

Zo is er volgens een rapport van Wordfence sinds midden februari een bug in Duplicator, een plugin waarmee site admins de inhoud van hun sites kunnen exporteren. De plugin heeft meer dan een miljoen installaties; nogal een probleem dus. De bug, die ondertussen in versie 1.3.28 is opgelost, stelt aanvallers in staat om een kopie van de site te exporteren. Vervolgens kunnen ze data uit de database halen, en daarna zelfs de MySQL-server van een WordPress-site hijacken.

Een ander voorbeeld is een bug in de Profile Builder plugin. De bug kan hackers toestaan om admin-accounts te registreren op WordPress-sites, terwijl die accounts niet geautoriseerd zijn. Deze bug werd eveneens al gepatcht. Er begonnen direct aanvallen van hackers te verschijnen op het moment dat de proof-of-concept code online werd gepubliceerd.

Verder is er nog Themegrill Demo Importer waarvan bugs worden misbruikt. De bug stelt gebruikers in staat om sites met een kwetsbare versie te wissen, en daarna het admin-account over te nemen. Het moge duidelijk zijn dat zo snel mogelijk patchen sterk wordt aangeraden.