Hackers misbruiken actief tweede kwetsbaarheid in WordPress-plugin

Hackers zijn in een week tijd een tweede kwetsbaarheid in een veelgebruikte WordPress-plugin gaan misbruiken. Dat stelt WordPress-beveiligingsbedrijf Defiant tegenover ZDNet. Op dit moment worden de aanvallen uitgevoerd. 

Het is de tweede afzonderlijke golf aan hack-pogingen tegen WordPress-sites sinds Defiant een week geleden een vergelijkbare hack-campagne op deze sites ontdekte. Die campagne misbruikte de WP GDPR Compliance-plugin. In de tweede golf richten hackers zich op een kwetsbaarheid in AMP for WP, een plugin die op ruim 100.000 sites geïnstalleerd is.

De kwetsbaarheid werd vorige week bekendgemaakt, toen beveiligingsbedrijf WebARX proof-of-concept-code plaatste over hoe het te misbruiken is. De daadwerkelijke kwetsbaarheid werd ontdekt door de Nederlandse beveiligingsonderzoeker Sybre Waaijer. Hij meldde het probleem halverwege oktober bij de mensen die de WordPress Plugins-repository onderhouden.

Tussen 22 en 31 oktober werd de AMP for WP-plugin verwijderd uit de officiële repository. In die tijd werkten ontwikkelaars aan een oplossing, die ook werd uitgebracht.

Kwetsbaarheid

De kwetsbaarheid is vergelijkbaar met degene die in de WP GDPR Compliance-plugin gevonden werd. Hackers kunnen de kwetsbare code gebruiken om wijzigingen op de gehele website aan te brengen in de site-opties, waar de plugin geen toegang toe hoort te hebben.

Het lijkt er op dat de publicatie van de code door WebARX de aandacht van hackers heeft getrokken naar het weinig bekende probleem. Experts van Defiant stellen dat hackers de kwetsbaarheid nu hebben verwerkt in een “geavanceerde aanvalscampagne”. De aanval is geavanceerd, omdat hackers de kwetsbaarheid niet blindelings direct misbruiken, maar het combineren met een andere cross-site scripting (XSS)-fout.

Aanvallers kunnen het web doorzoeken op kwetsbare websites die de AMP for WP-plugin gebruiken, de XSS-kwetsbaarheid gebruiken om malafide code in diverse delen van de site te plaatsen en wachten tot een admin-gebruiker die delen van de site gebruikt. De malafide code laadt een JavaScript-bestand van het sslapis.com-domein, dat probeert om URL’s aan te roepen die alleen beschikbaar zijn voor gebruikers met admin-accounts.

Supportuuser

Defiant stelt dat de code hackers toestaat om een admin-account genaamd “supportuuser” aan te maken, maar ook toegang krijgt tot de code editor van andere plugins. Daar wordt andere malafide code geplaatst die dient als een achterdeurtje, mocht het “supportuuser”-account verwijderd worden.

Defiant stelt dat administratoren van WordPress-sites de AMP for WP-plugin zo snel mogelijk moeten updaten. Ook moeten ze controleren of er een nieuw admin-account genaamd “supportuuser” is verschenen in de backend van de site.