WordPress-plug-in met 20.000 installaties door medewerker voorzien van backdoor

[Captain Kirk]

Een WordPress-plug-in die op meer dan twintigduizend websites is geïnstalleerd is door een medewerker voorzien van een backdoor, zo meldt securitybedrijf Wordfence op basis van contact met het ontwikkelteam. Een update om de backdoor te verwijderen is uitgebracht, maar de meeste websites hebben die nog niet geïnstalleerd. Via de backdoor kan een ongeauthenticeerde aanvaller administrators aan de website toevoegen en die zo volledig overnemen.

Het probleem is aanwezig in de plug-in LA-Studio Element Kit for Elementor, die meer dan twintigduizend installaties telt. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan tien miljoen WordPress-sites maken gebruik van Elementor.

Voor Elementor zijn ook weer allerlei plug-ins en uitbreidingen beschikbaar, waaronder LA-Studio Element Kit for Elementor. De plug-in biedt widgets, themes en andere aanpassingen om eenvoudiger van Elementor gebruik te maken. Een onderzoeker ontdekte dat het mogelijk is om tijdens het registreren van een account een aparte parameter op te geven waarmee men administrator kan worden.

De betreffende functie was geobfusceerd om zo detectie te voorkomen. Securitybedrijf Wordfence vroeg het ontwikkelteam om opheldering. Dat liet weten dat een voormalige medewerker de backdoor had toegevoegd. Deze persoon zou eind december zijn ontslagen. De laatste aanpassing aan de backdoor werd een paar dagen eerder gemaakt, aldus Wordfence.

Volgens het securitybedrijf is dit een belangrijke reminder als het gaat om insider-dreigingen en dat organisaties de juiste controles en procedures moeten hebben voor het omgaan met ontslagen personeel en geregeld de activiteiten van medewerkers moeten monitoren. De backdoor is verwijderd in versie 1.6.0 van de plug-in, die een week geleden uitkwam. Nergens in de release notes wordt de aanwezigheid van de backdoor vermeld. Daarnaast blijkt uit cijfers van WordPress.org dat de update pas door zo'n vijfduizend websites is geïnstalleerd.

 

bron: https://www.security.nl