Hackers hebben opnieuw een manier gevonden om in te breken bij WordPress-accounts. Ditmaal verleent een zeroday in de Ultimate Member-plugin de toegang.
Hackers kunnen 200.000 WordPress-websites binnendringen via een zeroday in de Ultimate Member-plugin. De plugin dient websitebezoekers met een eenvoudige accountregistratie.
Geen veilige versie
Alle versies van de plugin bevatten de zeroday. Nochtans proberen de ontwikkelaars de kwetsbaarheid al weg te werken vanaf versie 2.6.3, maar zij slaagden niet in hun opzet. “Versies 2.6.4, 2.6.5, 2.6.6 dichten deze kwetsbaarheid gedeeltelijk, maar we werken nog steeds samen met het WPScan-team om het beste resultaat te behalen”, schrijft een ontwikkelaar van het bedrijf.
De hoge kwetsbaarheidsscore van 9,8 geeft alvast aan dat het beveiligingsincident de nodige aandacht verdient. Via de zeroday kunnen hackers zichzelf namelijk administrator maken van de kwetsbare website, schrijft Chloe Chamberland, cybersecurity-onderzoekers bij Wordfence. Haar team ontdekte de zeroday als eerste.
V2.6.6 met risico’s
Ultimate Member raadt gebruikers van de plugin aan om bij te blijven met updates: “Alle eerdere versies zijn kwetsbaar, dus moeten we aanbevelen om uw websites te upgraden naar 2.6.6 en aankomende updates bij te houden voor het verkrijgen van de recente beveiligings- en functieverbeteringen.”
Volgens Chamberland blijft daar echter een te groot risico aan verbonden. “Aangezien de nieuwste versie van de plug-in, 2.6.6, niet volledig is gepatcht, raden we aan de plug-in te verwijderen totdat er een volledige patch is uitgebracht.”
WordPress in 2023
Het gaat al om de negende kwetsbaarheid in WordPress waar we dit jaar over berichten. In twee gevallen ging het om een oude kwetsbaarheid waarvoor gebruikers nog niet de moeite namen om de patch te installeren. Toch begint het aantal beveiligingsrisico’s voor 2023 in het CMS (Content Management System) alweer richting de tien op te lopen. De software blijkt dus een interessant doelwit te zijn voor hackers, maar niet alle kwetsbaarheden brengen even grote problemen met zich mee.
Grote problemen vormen zich bij bugs die veel WordPress-websites raken. Daarbij kunnen we voor 2023 de kwetsbaarheid in WordPress-plugin Elementor alvast rekenen. Meer dan 1 miljoen websites waren kwetsbaar voor de fout. Het nieuws volgde op een eerdere kwetsbaarheid in de Pro-versie van deze plugin die miljoenen websites trof.
Al waren er meer plugins niet bestand tegen de vindingrijkheid van hackers. Voor een kwetsbaarheid in WooCommerce Payments nam Automattic, de beheerder van WordPress, het heft in eigen handen. Een beveiligingsupdate werd vervolgens gedwongen geïnstalleerd op honderdduizenden websites. Dat trucje deed Automattic ongeveer een maand later nog eens over voor een Jetpack-plugin die zeker 5 miljoen websites kwetsbaar maakte.
Kwetsbaarheden met een kleinere omvang kunnen ook interessant zijn voor hackers, als de problemen hardnekkig zijn. Dat is bijvoorbeeld het geval in de Ultimate Member-plugin waar ontwikkelaars maar geen allesomvattende patch kunnen uitbrengen voor het probleem. Eerder dit jaar zorgde een backdoor ook al voor lang aanhoudende problemen. Via de backdoor konden hackers malware blijven injecteren, zelfs na pogingen om de getroffen WordPress-website weer op te schonen.
2 dagen geleden
