2min

WordPress ligt onder vuur nadat hackers een kwetsbaarheid hebben ontdekt in de populaire plugin ‘File Manager’. Miljoenen WordPress-sites zijn de afgelopen week door kwaadwillende bots gescand om te zien of de plugin aanwezig is om hier vervolgens misbruik van te maken.

De plotselinge toename van het aantal aanvallen begon nadat hackers een zero-day kwetsbaarheid ontdekten in File Manager, een plugin die door meer dan 700.000 sites wordt gebruikt. De zero-day is een kwetsbaarheid in de bestandsuploads waardoor de cybercriminelen kwaadaardige bestanden kunnen uploaden naar sites met een oudere versie van de File Manager-plugin.

Een forse stijging in aanvallen

Het was niet direct duidelijk hoe de hackers de zero-day hebben gevonden, maar er waren al snel duizenden bots die op zoek gingen naar sites die de plugin gebruiken. Als deze bots de plugin met het beveiligingslek kunnen vinden, dan zullen de hackers de zero-day benutten om een web-shell gecamoufleerd achter een afbeelding te uploaden naar de server van het slachtoffer. De aanvallers zouden dan toegang krijgen tot de shell op de server en vervolgens de site van het slachtoffer overnemen door deze in een botnet op te sluiten.

Er zijn nu al miljoenen sites gecontroleerd door kwaadwillende bots en waar mogelijk ook aangevallen en misbruikt.

Er is een patch beschikbaar

In het begin gingen de automatische aanvallen nog langzaam, maar vorige week was er ineens een grote piek. Defiant registreerde op 4 september maar liefst 1 miljoen aanvallen op WordPress sites. Het aantal ligt waarschijnlijk nog vele malen hoger, want niet iedereen gebruikt Defiant software.

Gall zei dat ze in totaal al 1,7 miljoen aanvallen op websites hebben geblokkeerd sinds 1 september.

Het ontwikkelteam van File Manager heeft een patch voor de zero-day gemaakt en uitgebracht. De update kwam uit op dezelfde dag dat ze op de hoogte werden gesteld dat hun plugin werd misbruikt door kwaadwillende. Sommige site-eigenaren hebben de patch geïnstalleerd, maar anderen nog niet. Als je de plugin gebruikt, update deze dan onmiddellijk.