Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de GDPR Compliance plugin. Dat heeft security bedrijf Wordfence afgelopen week laten weten. De plugin, die ontwikkeld werd door het in Amsterdam gevestigde WordPress bureau Van Ons, helpt eigenaren van een WordPress webshop of website bij het naleven van de AVG (de nieuwe Europese privacywetgeving).
GDPR Compliance plugin
De plugin was al door meer dan 100.000 WordPress websites geïnstalleerd toen er berichten opdoken dat er mogelijk een kwetsbaarheid in de plugin zat. Het bleek om een kwetsbaarheid te gaan waarbij een geauthentiseerde aanvaller admin accounts en backdoors toe kan voegen. Aanvallers kunnen de users_can_register optie op 1 zetten en de default_role van nieuwe gebruikers op ‘administrator’ zetten. Ze hoeven dan alleen nog maar het formulier op /wp-login.php?action=register in te vullen en krijgen dan direct toegang tot een geprivilegieerde account. Vanaf dat punt kunnen ze de instellingen weer terugzetten naar hoe ze eerst stonden om geen argwaan op te wekken, en een kwaadaardige plugin met malware installeren om de betreffende website verder te infecteren.
De kwetsbaarheid werd op 6 november gerapporteerd. Een dag later werd de plugin van WordPress.org verwijderd. Dezelfde dag nog werd versie 1.4.3 uitgebracht; deze update bevat een patch voor het beveiligingslek.
Nog steeds misbruik
De update mag het lek dan dichten, aanvallers maken nog steeds misbruik van de kwetsbaarheid. Dit kunnen ze doen als ze WordPress websites tegenkomen die nog een oude versie van de plugin draaien. Van Ons zei een verzoek te hebben ingediend bij WordPress om een geforceerde update door te voeren, maar dit bleek geen optie te zijn in dit geval. WordPress gebruikers die de GDPR Compliance plugin op hun website draaien, krijgen dan ook het dringende advies om zo snel mogelijk naar versie 1.4.3 te updaten. Ook wordt aangeraden om te controleren of er geen onbekende admin accounts zijn aangemaakt. Mogelijk is er bij sommige gecompromitteerde websites gebruik gemaakt van WP-Cron om een backdoor te installeren. Het schijnt dat die backdoor zichzelf kan vervangen wanneer hij verwijderd wordt.