300.000 WordPress-sites kwetsbaar door actief aangevallen lek in File Manager
Ruim 300.000 WordPress-sites lopen het risico om door aanvallers te worden overgenomen doordat ze een kwetsbare versie van de plug-in File Manager gebruiken. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, werd al aangevallen voordat een beveiligingsupdate beschikbaar was. Hoewel er inmiddels een patch is te downloaden hebben de meeste kwetsbare sites die nog niet geïnstalleerd.
Via File Manager kunnen WordPress-beheerders eenvoudig bestanden van hun website beheren zonder hiervoor van FTP gebruik te maken. De plug-in draait op meer dan 700.000 websites. File Manager bevat een library genaamd elFinder, een open source file manager die voor een eenvoudige bestandsmanagementinterface zorgt en de kernfunctionaliteit achter de plug-in biedt.
Het probleem met File Manager werd veroorzaakt doordat de plug-in de naam van een bestand van de elFinder-library had hernoemd van .dist naar .php. Dit php-bestand is voor iedereen toegankelijk. Een aanvaller kan het bestand aanroepen en gebruiken om de library een commando uit te laten voeren, zoals het uploaden van een webshell waarmee er toegang tot de website kan worden verkregen.
Na ontdekking van de aanvallen kwam de ontwikkelaar van File Manager gisteren met een beveiligingsupdate. De kwetsbaarheid is aanwezig in versie 6.0 tot en met 6.8. Uit statistieken van WordPress blijkt dat 45 procent van de WordPress-sites met deze plug-in gebruikmaakt van versie 6.4, 6.5 of 6.7, en zijn zodoende kwetsbaar. Bij elkaar gaat het om 315.000 websites. Van 29 procent wordt het versienummer niet vermeld, waardoor het aantal kwetsbare websites mogelijk nog veel hoger is.
Securitybedrijf Wordfence meldt dat het al 450.000 aanvallen tegen WordPress-sites heeft voorbij zien komen. NinTechNet laat weten dat aanvallers in het geval van een succesvolle aanval het kwetsbare bestand van een wachtwoord voorzien, om zo misbruik door andere aanvallers te voorkomen. Beheerders worden dan ook opgeroepen om versie 6.9 te installeren, die de kwetsbaarheid verhelpt. Deze versie draait inmiddels op 7 procent van de WordPress-sites met File Manager.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.