Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in BackupBuddy, een WordPress-plug-in die naar schatting 140,000 websites gebruiken om back-ups van hun installaties te maken.
Door het beveiligingslek kunnen aanvallers willekeurige bestanden van getroffen websites lezen en downloaden, inclusief bestanden die configuratie-informatie en gevoelige gegevens bevatten, zoals wachtwoorden die kunnen worden gebruikt voor verdere inbraak.
WordPress-beveiligingsleverancier Wordfence meldde vanaf 26 augustus dat hij aanvallen op de fout had waargenomen en zei dat dit het geval was blokkeerde bijna 5 miljoen aanvallen Vanaf dat moment. De ontwikkelaar van de plug-in, iThemes, heeft op 2 september een patch voor de fout uitgebracht, meer dan een week nadat de aanvallen begonnen. Dat vergroot de mogelijkheid dat ten minste enkele WordPress-sites die de software gebruiken, zijn gecompromitteerd voordat er een oplossing voor het beveiligingslek beschikbaar kwam.
Een directory-traversal-bug
In een verklaring op zijn website beschreef iThemes dat de kwetsbaarheid bij het doorkruisen van mappen een impact heeft op actieve websites BackupBuddy versies 8.5.8.0 tot en met 8.7.4.1. Het dringt er bij gebruikers van de plug-in op aan om onmiddellijk te updaten naar BackupBuddy versie 8.75, zelfs als ze momenteel geen kwetsbare versie van de plug-in gebruiken.
“Door dit beveiligingslek kan een aanvaller de inhoud bekijken van elk bestand op uw server dat door uw WordPress-installatie kan worden gelezen”, waarschuwde de maker van de plug-in.
De waarschuwingen van iThemes boden richtlijnen over hoe site-exploitanten kunnen bepalen of hun website is gehackt en welke stappen ze kunnen nemen om de veiligheid te herstellen. Deze maatregelen omvatten onder meer het opnieuw instellen van het databasewachtwoord en het wijzigen ervan WordPress-zouten, en roterende API-sleutels en andere geheimen in hun siteconfiguratiebestand.
Wordfence zei dat het had gezien dat aanvallers de fout gebruikten om te proberen “gevoelige bestanden zoals het bestand /wp-config.php en /etc/passwd op te halen, die kunnen worden gebruikt om een slachtoffer verder te compromitteren.”
Beveiliging van WordPress-plug-ins: een endemisch probleem
De BackupBuddy-fout is slechts een van de duizenden fouten die de afgelopen jaren zijn onthuld in WordPress-omgevingen (bijna allemaal met plug-ins).
In een rapport eerder dit jaar zei iThemes dat het geïdentificeerd was in totaal zijn er 1,628 onthulde WordPress-kwetsbaarheden in 2021 – en meer dan 97% daarvan had invloed op plug-ins. Bijna de helft (47.1%) werd beoordeeld als zijnde van hoge tot kritieke ernst. En verontrustend, Voor 23.2% van de kwetsbare plug-ins was geen oplossing bekend.
Uit een snelle scan van de National Vulnerability Database (NVD) door Dark Reading bleek dat tot nu toe alleen al in de eerste week van september enkele tientallen kwetsbaarheden die invloed hebben op WordPress-sites zijn onthuld.
Kwetsbare plug-ins zijn niet de enige zorg voor WordPress-sites; kwaadaardige plug-ins zijn een ander probleem. Een grootschalig onderzoek naar ruim 400,000 websites, uitgevoerd door onderzoekers van het Georgia Institute of Technology, bracht een maar liefst 47,337 kwaadaardige plug-ins geïnstalleerd op 24,931 websites, waarvan de meeste nog steeds actief zijn.
Sounil Yu, CISO bij JupiterOne, zegt dat de risico's die inherent zijn aan WordPress-omgevingen vergelijkbaar zijn met de risico's die aanwezig zijn in elke omgeving die gebruik maakt van plug-ins, integraties en applicaties van derden om de functionaliteit uit te breiden.
“Net als bij smartphones breiden dergelijke componenten van derden de mogelijkheden van het kernproduct uit, maar ze zijn ook problematisch voor beveiligingsteams omdat ze het aanvalsoppervlak van het kernproduct aanzienlijk vergroten”, legt hij uit, eraan toevoegend dat het doorlichten van deze producten ook een uitdaging is. vanwege hun enorme aantal en het ontbreken van een duidelijke herkomst.
“Beveiligingsteams hebben een rudimentaire aanpak, waarbij ze meestal een vluchtige blik werpen op wat ik de drie P’s noem: populariteit, doel en toestemmingen”, merkt Yu op. “Net als bij app-winkels die worden beheerd door Apple en Google, moet er meer onderzoek worden gedaan door de marktplaatsen om ervoor te zorgen dat kwaadaardige [plug-ins, integraties en apps van derden] geen problemen veroorzaken voor hun klanten”, merkt hij op.
Een ander probleem is dat terwijl WordPress wordt veel gebruiktwordt het vaak beheerd door marketing- of webdesignprofessionals en niet door IT- of beveiligingsprofessionals, zegt Bud Broomhead, CEO van Viakoo.
“Installeren is eenvoudig en verwijderen is een bijzaak of nooit gedaan”, vertelt Broomhead aan Dark Reading. “Net zoals het aanvalsoppervlak is verschoven naar IoT/OT/ICS, richten bedreigingsactoren zich op systemen die niet door IT worden beheerd, vooral op systemen die op grote schaal worden gebruikt, zoals WordPress.”
Broomhead voegt hieraan toe: “Zelfs als WordPress waarschuwingen geeft dat plug-ins kwetsbaar zijn, kunnen andere prioriteiten dan beveiliging de verwijdering van kwaadaardige plug-ins vertragen.”
