Grootschalig misbruik van lek in WordPress-plug-in Gravity SMTP gemeld

[Captain Kirk]

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in de Gravity SMTP plug-in voor WordPress, zo meldt cybersecuritybedrijf Wordfence. Via het beveiligingslek kunnen ongeauthenticeerde aanvallers configuratiedata. API keys, secrets en OAuth tokens stelen. Gravity SMTP is een plug-in die WordPress-sites kunnen gebruiken voor het versturen van e-mail. Het gaat om een betaalde plug-in die naar schatting op zo'n 100.000 websites draait.

Een REST API endpoint, die zonder authenticatie voor iedereen toegankelijk is, maakt het mogelijk om allerlei configuratiegegevens en vertrouwelijke data op te vragen. Het gaat dan ook om tokens gebruikt voor de integratie met e-maildiensten, zoals Amazon SES, Google, Mailjet, Resend en Zoho. Aanvallers kunnen zo e-mails in naam van de website versturen en informatie over de software stack van de website verzamelen, wat voor verdere aanvallen is te gebruiken.

De ontwikkelaar kwam op 17 maart met een update voor het probleem. Volgens Wordfence maken aanvallers sinds 5 mei misbruik van de kwetsbaarheid. Sinds die datum zag het cybersecuritybedrijf naar eigen zeggen meer dan zeventien miljoen aanvalspogingen. Hoeveel websites met Gravity SMTP de beschikbare update niet hebben geïnstalleerd is onbekend.

 

 

bron: https://www.security.nl