Nieuws
image

200.000 WordPress-sites gewaarschuwd voor actief aangevallen lek in plug-in

zaterdag 14 oktober 2023, 08:04 door Redactie, 10 reacties

De beheerders van meer dan tweehonderdduizend WordPress-sites zijn gewaarschuwd voor een kritieke kwetsbaarheid in een plug-in op hun website waar aanvallers actief misbruik van maken. Sinds 6 oktober is er een beveiligingsupdate voor het beveiligingslek in Royal Elementor Addons and Templates beschikbaar, maar de aanvallen vinden al sinds augustus plaats, aldus securitybedrijf Wordfence.

Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn ook weer allerlei plug-ins beschikbaar, waaronder Royal Elementor. Deze plug-in is op meer dan tweehonderdduizend WordPress-sites geïnstalleerd.

Een kritieke file upload kwetsbaarheid in de plug-in, aangeduid als CVE-2023-5360, maakt het mogelijk voor een ongeauthenticeerde aanvaller om malafide PHP-bestanden, zoals een backdoor, naar de website te uploaden. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Volgens Wordfence is er bewijs dat de exploit voor de kwetsbaarheid eind juli al in ontwikkeling was, waarbij de eerste aanvallen eind augustus plaatsvonden. Op 3 oktober was er een piek in de aanvallen. Drie dagen later kwam de ontwikkelaar van de plug-in met een update (1.3.79) om het probleem te verhelpen. Nog geen helft van de kwetsbare websites heeft de patch echter geïnstalleerd, zo blijkt uit cijfers van WordPress. Beheerders die dit nog niet hebben gedaan worden opgeroepen de update alsnog te installeren.

Reacties (10)
Reageer met quote
14-10-2023, 11:19 door Anoniem
het beveiligingslek in Royal Elementor Addons and Templates
Is dat wat ze een "Royal PITA" noemen?
Reageer met quote
14-10-2023, 12:12 door Anoniem
Het maakt veranderingen mogelijk in het Windows register voor generic trojan, bank-malware, spyware, ransomware, infostealer, Remote Access Trojan, cryptocurrency-miner malware.

Houdt daarom thema's en plug-ins voortdurend in het snotje.
Reageer met quote
14-10-2023, 12:37 door nnsa
Alweer Elementor...? !
Reageer met quote
14-10-2023, 14:11 door Anoniem
Door Anoniem: Het maakt veranderingen mogelijk in het Windows register voor generic trojan, bank-malware, spyware, ransomware, infostealer, Remote Access Trojan, cryptocurrency-miner malware.
Hoe werkt dat dan? Je gaat me toch niet vertellen dat je WordPress onder Windows draait??
Reageer met quote
14-10-2023, 21:47 door Anoniem
WordPress websites, met generieke malware JavaScript draaien wel degelijk in browsers op Windows 11 bijvoorbeeld. Of is dat niet de bedoeling van de website eigenaar met zijn kwetsbare plugin?
Reageer met quote
15-10-2023, 14:01 door Anoniem
Door Anoniem: WordPress websites, met generieke malware JavaScript draaien wel degelijk in browsers op Windows 11 bijvoorbeeld. Of is dat niet de bedoeling van de website eigenaar met zijn kwetsbare plugin?
Nee die besmettingen van WordPress sites die worden gebruikt om bezoekers te redirecten naar goksites enzo...
De besmettingen vinden plaats op de server, niet op de client. En die server is meestal LAMP.
Reageer met quote
15-10-2023, 15:39 door Anoniem
Door Anoniem: WordPress websites, met generieke malware JavaScript draaien wel degelijk in browsers op Windows 11 bijvoorbeeld. Of is dat niet de bedoeling van de website eigenaar met zijn kwetsbare plugin?
Jij nie snap nie, de plugin draait op de server niet de clients. Dit houdt in dat de server kwetsbaar is, niet de clients.
Reageer met quote
16-10-2023, 12:12 door Anoniem
De plug-in draait op een kwetsbare webserver,
maar dat kan wel degelijk gevolgen hebben voor onvoorzichtige bezoekers van zo'n website.
Of zie ik dat ook verkeerd?

Ons sal nie vergeet wat die hacker aan ons gedoen het nie.
Reageer met quote
16-10-2023, 14:23 door Anoniem
Door Anoniem: De plug-in draait op een kwetsbare webserver,
maar dat kan wel degelijk gevolgen hebben voor onvoorzichtige bezoekers van zo'n website.
Of zie ik dat ook verkeerd?

Ons sal nie vergeet wat die hacker aan ons gedoen het nie.
"

Kan hoeft niet.

Een addon voor de plugin Elementor bevat een kwetsbaarheid waardoor er een injectie mogelijk is om een administrator account te maken. Vanaf het moment dat er een admin account beschikbaar is kan de andere kant zowat alles doen in de wordpress omgeving. Dat zegt echter niks over de beveiliging van de webserver in gebruik ik zie namelijk niet hieruit dat de kwetsbaarheid zich buiten de account container van de gebruiker kan begeven.

Verder wordt er geen info vrijgegeven over wat voor verdere aanvallen zijn geregistreerd na infectie. Het kan illegale clicks revenue zijn, malware uploader, phising, defacing noem maar op dat is aan de aanvaller om te bepalen.

Gekeken naar het extreem simpele connectie script lijkt dit een zeer amateurische beveiliging fout te zijn geweest in de addon.
Reageer met quote
17-10-2023, 21:09 door Anoniem
Dank voor de juiste uitleg. Updaten of afvoeren is altijd een noodzaak.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search