WordPress-sites aangevallen via lek in Nicdarkplug-ins en Bulk Uploader
WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in plug-ins van ontwikkelaar Nicdark en een uitbreiding voor de Simple 301 Redirects-plug-in. Dat laat securitybedrijf Wordfence weten. Nicdark biedt vijf verschillende plug-ins voor WordPress waarmee websites onder andere donaties en reserveringen kunnen beheren. De plug-ins zijn volgens de ontwikkelaar meer dan 15.000 keer gedownload.
Uit cijfers van WordPress blijkt dat meer dan 6700 actieve websites van de plug-ins gebruikmaken. Hoewel het om vijf verschillende plug-ins gaat bevatten ze allemaal hetzelfde beveiligingslek waardoor een aanvaller zonder inloggegevens willekeurige WordPress-opties kan aanpassen. Zo is het bijvoorbeeld mogelijk voor een aanvaller om zichzelf als beheerder van de website te registreren.
Bij de waargenomen aanvallen wijzigen aanvallers alleen de site-url van de website, waardoor bezoekers automatisch naar malafide sites worden doorgestuurd of malafide content te zien krijgen. De kwetsbaarheden in de plug-ins zijn onlangs gepatcht, maar niet alle websites hebben de update geïnstalleerd. Hetzelfde geldt voor een uitbreiding van de Simple Redirects-plug-in.
Via Simple Redirects kunnen gebruikers requests eenvoudig naar een andere pagina op hun eigen site of het internet doorsturen. De “Simple 301 Redirects – Addon – Bulk Uploader” biedt de mogelijkheid om een csv-bestand met oude en nieuwe url’s te uploaden die vervolgens als invoer door Simple Redirects worden gebruikt. Via de kwetsbaarheid kan een aanvaller zijn eigen redirect opgeven en bezoekers zo naar malafide sites doorsturen. Twee weken geleden verscheen er een update voor Bulk Uploader, die meer dan 10.000 actieve installaties heeft.