Antivirusleverancier Dr. Web heeft malware ontdekt die zich richt op WordPress-sites die op Linux draaien. De malware bestaat uit twee varianten en kan aanvallen uitvoeren door gebruik te maken van verouderde plugins. De eerste variant, Linux.BackDoor.WordPressExploit.1, richt zich op zowel 32-bits als 64-bits versies van het open-source besturingssysteem.
Linux.BackDoor.WordPressExploit.1 is een backdoor die op afstand wordt bestuurd door kwaadwillenden. Op hun commando kan het de volgende acties uitvoeren:
- Een bepaalde webpagina (website) aanvallen;
- Overschakelen naar stand-by modus;
- Sluit zichzelf af;
- Het loggen van zijn acties onderbreken.
“Als sites verouderde versies van dergelijke plugins gebruiken, waarin cruciale fixes ontbreken, worden de beoogde webpagina’s geïnjecteerd met kwaadaardige JavaScripts”, aldus de Russische beveiligingsleverancier Doctor Web in een vorige week gepubliceerd rapport. “Als gevolg daarvan worden gebruikers, wanneer ze op een onderdeel van een aangevallen pagina klikken, omgeleid naar andere sites.”
Bij de aanvallen wordt een lijst met bekende beveiligingslekken in 19 verschillende plugins en thema’s die op een WordPress-site zijn geïnstalleerd.
Het is ook in staat om JavaScript-code te injecteren die is opgehaald van een externe server om de bezoekers van de site om te leiden naar een willekeurige website van de aanvaller.
Doctor Web zegt dat het een tweede versie van de backdoor heeft ontdekt, die een nieuw command-and-control (C2) domein gebruikt, evenals een bijgewerkte lijst van gebreken die 11 extra plugins omvat, waarmee het totaal op 30 komt.
De nieuwe lijst plugins en thema’s staan hieronder –
Let op: er staan geen versies bij. Zorg er dus altijd voor dat je de laatste versie gebruikt van de plugins en thema’s.
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (discontinued as of January 28, 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat by Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, and
- Rich Reviews
Beide varianten zouden een nog niet geïmplementeerde methode bevatten om WordPress administrator accounts te brute-forcen, hoewel het niet duidelijk is of dit een overblijfsel is van een eerdere versie of een functionaliteit die het licht nog moet zien.
“Als een dergelijke optie wordt geïmplementeerd in nieuwere versies van de backdoor, zullen cybercriminelen zelfs in staat zijn om met succes enkele van die websites aan te vallen die huidige plugin-versies met gepatchte kwetsbaarheden gebruiken”, aldus het bedrijf.
Gebruikers van WordPress wordt aangeraden goed onderhoud te blijven uitvoeren, core updates inclusief plugins van derden en uiteraard de thema’s. Ook wordt geadviseerd om sterke en unieke logins en wachtwoorden te gebruiken om accounts te beveiligen.
De onthulling komt enkele weken nadat Fortinet FortiGuard Labs een ander botnet met de naam GoTrim bekendmaakte, dat is ontworpen om zelf gehoste websites met het WordPress content management systeem (CMS) te brute-forcen en zo de controle over de beoogde systemen over te nemen.
Twee maanden geleden constateerde Sucuri dat meer dan 15.000 WordPress-sites waren getroffen als onderdeel van een kwaadaardige campagne om bezoekers om te leiden naar nep-vraag en antwoord portalen. Het aantal actieve infecties staat momenteel op 9.314.
Bronnen:
Lees hier het Engelse artikel van Doctor Web
Lees hier meer over Linux.BackDoor.WordPressExploit.1
Lees hier meer over Linux.BackDoor.WordPressExploit.2
