WordPress-sites aangevallen via lek in Duplicator-plug-in

[Captain Kirk]

WordPress-sites met een verouderde versie van de Snap Creek Duplicator-plug-in zijn het doelwit van aanvallen, zo waarschuwt securitybedrijf Sucuri. De verouderde versies laten een aanvaller op afstand willekeurige code uitvoeren. Via de plug-in is het mogelijk om een website van de ene naar de andere locatie te kopiëren of te verplaatsen. Ook fungeert het als een eenvoudige back-uptool.

De plug-in is op meer dan 1 miljoen websites actief en is volgens de ontwikkelaars meer dan 10 miljoen keer gedownload. Om de aanval mogelijk te maken zijn er echter wel verschillende vereisten. Zo moet het bestand installer.php door de plug-in zijn gecreëerd en moet dit bestand in de root-map van de website zijn achtergebleven. Tevens moet de gebruikte Duplicator-plug-in ouder zijn dan versie 1.2.42. Deze versie verscheen op 24 augustus en verhelpt het beveiligingslek. Een soortgelijke kwetsbaarheid werd vorig jaar ook al in de plug-in ontdekt.

In beide gevallen zorgen de kwetsbaarheden ervoor dat bij het gebruik van de plug-in het kwetsbare bestand installer.php achterblijft op de server. Ook al hebben eigenaren de meest recente versie van de plug-in geïnstalleerd, dan kan het kwetsbare bestand installer.php nog steeds in de root-map van de WordPress-sites aanwezig zijn. Beheerders krijgen dan ook het advies om dit bestand direct te verwijderen.

Sucuri ziet naar eigen zeggen een toenemend aantal gevallen waarbij de aanvallers WordPress-sites uitschakelen door het wp-config.php-bestand te verwijderen of te overschrijven. Al deze gevallen hangen samen met de kwetsbare Duplicator-plug-in. Waarom de aanvallers dit doen is onduidelijk, aldus het securitybedrijf. Mogelijk gaat het om een mislukte manier om de website over te nemen.

Bij verschillende van de websites werden ook backdoors aangetroffen, maar het is nog onduidelijk of die via de kwetsbaarheid of op een andere manier zijn geïnstalleerd. Voor het herstellen van getroffen WordPress-sites moet er een nieuw wp-config.php-bestand met de juiste database-inloggegevens worden aangemaakt.

 

 

bron: security.nl