700 WordPress-sites gehackt via kwetsbaarheid in GDPR-plug-in

[Captain Kirk]

Het afgelopen weekend zijn zo'n 700 WordPress-sites gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in. Via het beveiligingslek kunnen aanvallers adminaccounts en backdoors aan websites toevoegen. Nadat aanvallers toegang hadden gekregen wijzigden ze de site url van deze gehackte WordPress-sites naar een ander domein.

De site url laat WordPress weten waar de website zich bevindt. Door de aanpassing wordt er kwaadaardige content op de gehackte WordPress-sites geladen. Bij de aanval van dit weekend was het ingestelde domein echter offline, waardoor het lang duurde voordat de gehackte WordPress-sites konden worden geladen en leek de website kapot, aangezien er geen content van het opgegeven domein beschikbaar was. Dat laat securitybedrijf Sucuri weten. De beveiliger ontdekte via de eigen scanner zo'n 700 gehackte websites, maar het werkelijke aantal kan veel hoger liggen. De WordPress GDPR Compliance-plug-in is op meer dan 100.000 websites geïnstalleerd.

Bij verschillende van de getroffen websites is de site url inmiddels aangepast. Er wordt een script van PasteBin geladen dat gebruikers doorstuurt naar een zogeheten "tech support scam". De scamsite laat bezoekers weten dat er een probleem met hun computer is en ze het opgegeven telefoonnummer moeten bellen. Het telefoonnummer is van oplichters die toegang tot de computer van het slachtoffer proberen te krijgen en uiteindelijk geld vragen voor het oplossen van het niet bestaande probleem. Het script op Pastebin is inmiddels meer dan 2 miljoen keer geladen.

De GDPR Compliance-plug-in wordt via WordPress.org aangeboden. Tal van gebruikers laten in recensies weten dat hun websites via de kwetsbaarheid zijn gehackt. De ontwikkelaars melden op hun eigen website dat alle WordPress-sites die van de plug-in gebruikmaken en niet meteen de beveiligingsupdate hebben geïnstalleerd moeten controleren of ze gehackt zijn. Eventueel onbekende adminaccounts moeten worden verwijderd. Verder wordt geadviseerd om een complete back-up van de website van voor 6 november 2018 terug te zetten en daarna meteen de update te installeren.

 

 

bron: security.nl