WordPress-sites massaal aangevallen via nieuwe kwetsbaarheid

Er is nog altijd geen patch voor deze kwetsbaarheid (CVE-2022-3180) opgetuigd, zo meldt securityleverancier Wordfence. Die heeft dit gat ontdekt en inmiddels 280.000 aanvallen gedetecteerd en tegengehouden via zijn eigen beveiligingsproduct voor WordPress. De WPGateway-plugin is een premium-plugin die is gekoppeld aan de WPGateway-cloudservice. Dit geeft gebruikers een oplossing om WordPress-websites in te stellen en te beheren via één dashboard.

De ontdekkers hebben vorige week (op 9 september) voor het eerst contact opgenomen met de makers van de plugin waarin deze kwetsbaarheid is vastgesteld. Omdat criminelen al op de hoogte zijn van het mechanisme, is er gekozen om in de openbaarheid te treden. Dit om beheerders te informeren en in staat te stellen tegenmaatregelen te nemen, zoals bijvoorbeeld firewall-regels. Bij deze disclosure nu, vóórdat er een patch is, zijn niet alle details van het beveiligingsgat prijsgegeven.

Toegang tot volledige website

Aanvallers die beheerdersrechten weten te verkrijgen, hebben dan toegang tot de volledige website, zo waarschuwt Wordfence. Het advies luidt om de kwetsbare plugin in ieder geval tijdelijk te verwijderen. Het is mogelijk om te controleren of er sprake is van een aanval door te kijken of er een onbekende beheerder is toegevoegd aan de groep gebruikers. Het meest voorkomende teken van een hack (indicator of compromise, IOC) langs de WPGateway-plugin is de aanwezigheid van een beheerder met de gebruikersnaam 'rangex'.