Onbeheerde WordPress plugin ‘Total Donations’ opent deur voor hackers

Eigenaren van een WordPress website die de plugin ‘Total Donations’ gebruiken, kunnen die het beste verwijderen. Hackers zouden een niet-gepatchte kwetsbaarheid in de code kunnen misbruiken en zo de site overnemen. De website van CodeCanyon, ontwikkelaar van de betaalde plugin, is sinds mei 2018 inactief. Ook zijn er geen updates voor gerapporteerde bugs meer verschenen.

Mikey Veenstra, onderzoeker bij het WordPress-beveiligingsbedrijf Defiant, plaatste afgelopen vrijdag een waarschuwingsbericht op de eigen website. Het bedrijf achter de Wordfence-firewall-plugin voor WordPress heeft de afgelopen weken meerdere aanvallen van de nieuw ontdekte zero-day waargenomen. De kwetsbaarheid is van invloed zijn op alle versies van Total Donations, een commerciële plugin die donaties verzameld en beheerd.

AJAX-eindpunten

Volgens Veenstra bevat de code van de plugin verschillende ontwerpfouten, die zowel de plugin als de WordPress website blootstellen aan externe manipulatie, aldus berichtgeving vanuit ZDnet.  De plugin zou een AJAX-eindpunt bevatten, die door iedere externe niet-geverifieerde aanvaller kan worden opgevraagd. Met zo’n AJAX-eindpunt kan een aanvaller de waarde van de core-instelling van een WordPress-site wijzigen, plugin-gerelateerde instellingen wijzigen, het bestemmingsaccount van ontvangen donaties via de plug-in wijzigen en zelfs Mailchimp-mailinglijsten ophalen. Iets dat de plugin ook als zijfunctie  ondersteunt.

Het eenvoudig deactiveren van de plugin biedt volgens de onderzoeker geen oplossing. Het AJAX-eindpunt bevindt zich volgens hem in een van de bestanden van de plugin, wat betekent dat het deactiveren ervan de bedreiging niet elimineert. Aanvallers kunnen het betreffende bestand namelijk gewoon rechtstreeks oproepen. Alleen het volledig verwijderen zou sites bescherming tegen misbruik bieden.

Commerciële websites

Defiant beweert herhaaldelijk te hebben geprobeerd in contact te komen met de ontwikkelaars van CodeCanyon. Iets wat ook gebruikers eerder tevergeefs probeerden, toen bleek dat zij geen plugin-updates meer ontvingen voor meerdere gerapporteerde bugs. Het bedrijf denkt overigens niet dat de Total Donations een grote gebruikersgroep kent, aangezien het een betaalde plugin betreft. Het vermoeden is dan ook dat de plugin hoogstwaarschijnlijk geïnstalleerd is op actieve sites met een grote gebruikersgroep, die zich een commerciële plugin kunnen veroorloven en die ook hoogwaardige doelen zijn voor hackergroepen.

Eind vorig jaar ontdekten onderzoekers van het WordPress-beveiligingsbedrijf ook al een kwetsbaarheid in andere veelgebruikte WordPress-plugin. Hackers voerden op dat moment actief aanvallen uit. Naast het misbruik van de GDPR Compliance-plugin richtten hackers zich ook op een kwetsbaarheid in AMP for WP, een plugin die op ruim 100.000 sites geïnstalleerd is.

 

Gerelateerd: Hacker zet populaire WordPress-plugin te kijk