Zeker 100.000 Wordpress-sites geïnfecteerd met malware
Nieuwe Russische malware heeft sinds dit weekend al zo’n honderdduizend Wordpress-sites geïnfecteerd en de bijhorende blogs veranderd in hackwapens. Google heeft al zowat elfduizend domeinnamen geblokkeerd om de schade in te dijken.
De campagne werd ontdekt door het beveiligingsbedrijf Sucuri en Soaksoak genoemd, naar het eerste (Russische) domein waarnaar de malware verwijst. De aanval wordt uitgevoerd via de Revslider-plug-in voor Wordpress.
[related_article id=”161920″]
Website-eigenaar weet van niks
“Het grootste probleem is dat Revslider een premiumplug-in is die je niet makkelijk kan upgraden en dat is een ramp voor sommige website-eigenaars”, schrijft Daniel Cid van Sucuri op de bedrijfsblog. “Sommigen weten zelfs niet dat ze hierover beschikken, omdat het gebundeld is in hun thema’s.”
Sucuri werd eind september op de hoogte gebracht van een serieuze kwetsbaarheid in de plug-in. Op dat ogenblik deden berichten over de fout al de ronde in bepaalde hackersforums.
“In dit geval heeft de ontwikkelaar van een populaire plug-in besloten om hier niets over te onthullen en in alle stilte alles te patchen”, schreef Cid destijds. “Let wel, deze kwetsbaarheid was al bekend als een zero day (nieuwe kwetsbaarheid waarvoor nog geen remedie bestaat, red.) in ondergrondse fora. Je zou denken dat dat de ontwikkelaar zou aanzetten om sneller te werken en hier mee naar buiten te komen. Maar neen, er werd een andere weg gekozen.”
Zeer serieuze fout
Sinds mei dit jaar heeft Sucuri nog vier kritische kwetsbaarheden gevonden in Wordpress-plug-ins, samen goed voor ruim 20 miljoen downloads. Het gaat om WPTouch, Disqus, All-in One SEO Pack en Mailpoet.
“Deze kwetsbaarheden staan bekend als een LFI of Local File Inclusion”, zegt Cid. “De aanvaller is daardoor in staat om lokale bestanden op een server in te kijken, aan te passen en te downloaden. Een zeer serieuze fout dus die eigenlijk onmiddellijk had aangepakt moeten worden.”
Sucuri heeft een gratis online scanner waarmee websitebeheerders hun webstek kunnen testen, maar vreest dat misschien wel honderdduizenden sites al besmet zijn.
Binnen enkele minuten weer besmet
Sommige gebruikers, die de malware opruimen, worden binnen enkele minuten opnieuw geïnfecteerd. Volgens Cid heeft dat veel te maken met de ingenieuze structuur van de payload van de besmetting en met het onvoldoende opschonen van de IT-systemen.
Een firewall kan het potentieel voor een aanval door de malware flink verminderen, aldus nog de veiligheidsexpert.