image

1,6 miljoen WordPress-sites doelwit van grootschalige aanval via plug-ins

vrijdag 10 december 2021, 09:57 door Redactie, 7 reacties

Meer dan 1,6 miljoen WordPress-sites zijn het doelwit van een grootschalige aanval waarbij aanvallers de websites via kwetsbaarheden in verschillende plug-ins en themes proberen over te nemen. Het gaat om de plug-ins Kiwi Social Share, Pinterest Automatic, WordPress Automatic en PublishPress Capabilitie, waarvoor sinds respectievelijk 12 november 2018, 23 augustus 2021 en 6 december 2021 beveiligingsupdates beschikbaar zijn.

Tevens worden vijftien themes aangevallen die van het Epsilon Framework gebruikmaken. Voor veertien van deze themes zijn updates beschikbaar. Alleen in het geval van het NatureMag Lite-theme ontbreekt een update en wordt beheerders aangeraden het theme te verwijderen. Door middel van de kwetsbaarheden schakelen de aanvallers in dat gebruikers zich op de site kunnen registreren en standaard de rol van beheerder krijgen.

"Dit maakt het mogelijk voor aanvallers om zich op elke website als beheerder te registreren en effectief de site over te nemen", aldus Chloe Chamberland van Wordfence, het securitybedrijf dat de aanvallen waarnam. Aangezien het hier alleen gaat om WordPress-sites die Wordfence monitort, ligt het werkelijke aantal aangevallen websites mogelijk hoger.

Beheerders en webmasters die van de aangevallen themes en plug-ins gebruikmaken wordt aangeraden om de laatste versie te installeren. Daarnaast wordt geadviseerd om te controleren of er geen ongeautoriseerde gebruikersaccounts zijn aangemaakt.

Reacties (7)
10-12-2021, 10:08 door Anoniem
Ugh.....

Again en again en again.......

Vindt het WP platform handig om snel even een website in elkaar te duwen, maar het zou de plugin developers sieren om wat meer werk te maken van hun code m.b.t. beveiliging. Sommige plugins is echt een drama.

Wordfence is wat dat betreft het geld meer dan waard.
10-12-2021, 10:40 door Anoniem
Ik snap die 1,6 miljoen niet. Zijn ze mogelijk gehackt? Of heeft er een scan plaats gevonden voor de kwestbaarheden, als dat zo is dan kan daar ieder willekeurig getal staan of beter nog laat het gewoon helemaal weg.. Ow dan is het geen sensatie meer...
10-12-2021, 10:45 door Anoniem
WP zit op zich wel goed met de nodige veiligheid updates, helaas zijn er teveel plug-ins en thema's die het niet zo nauw nemen. Ook zijn er veel mensen die lijken wel plug-ins te sparen, alles moet meer en drukker lijkt het wel.
Ik heb prive ook een WP site, maar met maar 5 plug-inns van goede ontwerpers zoals NextGEN en Wordfence Security.
11-12-2021, 12:30 door Anoniem
Als je niet update en plugins gebruikt buiten de beveiligde bronnen, soms met verlaten code, is het je eigen schuld. Zulke mensen zouden geen website moeten kunnen draaien. Maar dankzij gigantische graaiers kan alles maar, zonder zelfkennis als gevaar voor zichzelf en anderen.
luntrus
12-12-2021, 14:21 door Anoniem
Door Anoniem: Ik snap die 1,6 miljoen niet. Zijn ze mogelijk gehackt? Of heeft er een scan plaats gevonden voor de kwestbaarheden, als dat zo is dan kan daar ieder willekeurig getal staan of beter nog laat het gewoon helemaal weg.. Ow dan is het geen sensatie meer...
Ik vroeg me dat ook af. Wat ik dan doe is op de link in het artikel klikken naar het securitybedrijf dat de aanvallen waarnam en lezen wat daar staat. Dan wordt snel duidelijk dat die een product leveren dat beschermt tegen dit soort aanvallen, een soort firewall die op de te beschermen server draait. Ze melden dat die zijn werk doet en de aanval tegenhoudt, maar ze hebben via hun product in 36 uur 13,7 miljoen aanvallen op 1,6 miljoen sites waargenomen die 4 WordPress-plugins als doel hadden.
12-12-2021, 14:55 door Anoniem
Door Anoniem: Ik snap die 1,6 miljoen niet. Zijn ze mogelijk gehackt? Of heeft er een scan plaats gevonden voor de kwestbaarheden, als dat zo is dan kan daar ieder willekeurig getal staan of beter nog laat het gewoon helemaal weg.. Ow dan is het geen sensatie meer...
Ze zijn gescanned door bots waarna deze een payload execution gedaan hebben dus ja 1.6 milljoen getroffen sites vanaf 16000 rogue IP's We namen zelf ook paar extra duizend scans waar op onze infra al niks waar we ons zorgen om maakte gezien we die plug-ins niet gebruiken en onze modsec profielen up to date zijn.

Van alle kwetsbaarheden als men netjes updates doet is de enige waar je zelf beste actie op kan verrichten het patchen van PublishPress Capabilities welke niet meer kwetsbaar was na updates op 6de van december.

De overige exploits kunnen alleen als men al meer dan half jaar niet de rest had geupdate.
Dit is dan ook geen groot nieuws geen grote inbraak gezien er over 455 miljoen wordpress sites bestaan maar puur een van de maandelijkse Wordfence advertenties voor hun premium firewall listings.
12-12-2021, 18:04 door Anoniem
De APTS hebben weer een goed weekend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.