In weer een ander geval van een aanval op de toeleveringsketen van software, werden in de eerste helft van september 2021 tientallen WordPress-thema’s en plug-ins die op de website van een ontwikkelaar werden gehost, achterdeurtjes met kwaadaardige code met als doel verdere sites te infecteren.
De achterdeur gaf de aanvallers volledige administratieve controle over websites die 40 thema’s en 53 plug-ins gebruikten van AccessPress Themes, een in Nepal gevestigd bedrijf met niet minder dan 360.000 actieve website-installaties.
“De geïnfecteerde extensies bevatten een druppelaar voor een webshell die de aanvallers volledige toegang geeft tot de geïnfecteerde sites”, zeiden beveiligingsonderzoekers van JetPack, een ontwikkelaar van WordPress-plug-ins. verslag doen van deze week gepubliceerd. “Dezelfde extensies waren prima als ze rechtstreeks vanaf de WordPress werden gedownload of geïnstalleerd[.]org-map.”
De kwetsbaarheid heeft de identifier gekregen CVE-2021-24867. Websitebeveiligingsplatform Sucuri, in een afzonderlijke analyse, zei sommige van de geïnfecteerde websites die deze achterdeur gebruikten, hadden spam-payloads die bijna drie jaar oud waren, wat impliceert dat de actoren achter de operatie toegang tot de sites verkochten aan operators van andere spamcampagnes.
Begin deze maand maakte cyberbeveiligingsbedrijf eSentire bekend hoe gecompromitteerde WordPress-websites van legitieme bedrijven worden gebruikt als een broeinest voor het afleveren van malware.
Site-eigenaren die de plug-ins rechtstreeks van de website van AccessPress Themes hebben geïnstalleerd, wordt geadviseerd om onmiddellijk te upgraden naar een veilige versie of deze te vervangen door de nieuwste versie van WordPress[.]org. Bovendien is het nodig dat er een schone versie van WordPress wordt geïmplementeerd om de wijzigingen die tijdens de installatie van de achterdeur zijn gedaan ongedaan te maken.
De bevindingen komen ook toen WordPress-beveiligingsbedrijf Wordfence details openbaarde van een nu gepatchte cross-site scripting (XSS)-kwetsbaarheid die van invloed was op een plug-in genaamd “WordPress Email Template Designer – WP HTML-e-mail” die op meer dan 20.000 websites is geïnstalleerd.
Bijgehouden als CVE-2022-0218, heeft de bug een 8,3 gekregen op het CVSS-kwetsbaarheidsscoresysteem en is verholpen als onderdeel van updates die zijn uitgebracht op 13 januari 2022 (versie 3.1)
“Deze fout maakte het voor een niet-geverifieerde aanvaller mogelijk om kwaadaardig JavaScript te injecteren dat zou worden uitgevoerd wanneer een sitebeheerder de sjablooneditor gebruikte”, zegt Chloe Chamberland. zei. “Dit beveiligingslek zou hen ook in staat stellen om de e-mailsjabloon aan te passen om willekeurige gegevens te bevatten die kunnen worden gebruikt om een phishing-aanval uit te voeren tegen iedereen die e-mails heeft ontvangen van de gecompromitteerde site.”
Volgens statistieken gepubliceerd door Risk Based Security deze maand, werden maar liefst 2.240 beveiligingsfouten ontdekt en gerapporteerd in WordPress-plug-ins van derden tegen het einde van 2021, een stijging van 142% ten opzichte van 2020, toen bijna 1.000 kwetsbaarheden werden onthuld. Tot op heden zijn in totaal 10.359 kwetsbaarheden voor WordPress-plug-ins ontdekt.
