WordPress-sites aangevallen via lekken in Everest Forms Pro en Burst Statistics

In dit artikel:

Bezoekers van WordPress-sites worden actief aangevallen via beveiligingslekken in twee plug-ins: Burst Statistics en Everest Forms Pro. Bij Burst Statistics — een door de makers gepresenteerde “privacyvriendelijke” vervanger van Google Analytics die op meer dan 200.000 sites staat — blijkt een authenticatiefunctie niet goed te controleren of een wachtwoord klopt. Kennen aanvallers de gebruikersnaam van een administrator, dan kunnen ze met een gefingeerd wachtwoord een nieuw admin-account aanmaken. De ontwikkelaar bracht op 12 mei versie 3.4.2 uit; beveiligingsbedrijf Wordfence meldt dat exploitatie sinds 13 mei plaatsvindt en dat er in de weken daarna meer dan 110.000 aanvalspogingen zijn gedetecteerd.

Everest Forms Pro, de betaalde versie van een formulierbouwer (ongeveer 4.000 installs), bevat een apart gat waardoor speciaal geprepareerde formulierwaarden ervoor kunnen zorgen dat PHP-code op de server wordt uitgevoerd. Ook daar probeerden aanvallers achtereenvolgens admin-accounts te creëren; Wordfence trof circa 30.000 pogingen tegen dit lek.

Acties die sitebeheerders nu moeten ondernemen: direct beide plug-ins bijwerken naar de gepatchte versies of de plug-ins verwijderen als ze niet nodig zijn, controleer op onbekende admin-accounts en verdachte wijzigingen, herstel zo nodig vanaf een betrouwbare back-up en scan de site op achterdeurtjes.