Hackers misbruiken kritiek “zero day” lek dat meer dan 350.000 websites raakt

Het lek zit in de plugin wp-file-manager en is aanwezig in versie 6.0 tot en met 6.8 en raakt zo’n 50% van de gebruikers van deze plugin.

Laatste update: 02-09 om 10.01

Hackers maken actief misbruik van een lek dat ze in staat stelt om commando’s uit te voeren en malafide bestanden te uploaden naar iedere website met een kwetsbare versie van de wp-file-manager plugin. Het lek is gisteravond door de ontwikkelaars van de plugin opgelost en wordt sindsdien actief misbruikt op oudere versies.

Wat moet je als website eigenaar nu doen?

Update (of verwijder) de wp-file-manager plugin vandaag nog! De stappen:

  • Log in op je WordPress dashboard (domeinnaam.nl/admin)
  • Klik op ‘Plugins’
  • Onder de ‘File Manager’ plugin vind je onderstaande tekst. Klik op ‘Nu bijwerken’

Er is een nieuwe versie van File Manager beschikbaar. Details van 6.9 bekijken of nu bijwerken.

De plugin is nu bijgewerkt naar de nieuwste versie en niet langer kwetsbaar. Het kan echter zijn dat dat de kwetsbaarheid al misbruikt was, neem daarom extra stappen om je website te beschermen.

Aanvullende technische informatie (voor IT’ers)

Heb jij aanvullende informatie die je wilt delen? Stuur een e-mail naar mark@sqr.nl

Het lek werd gisteravond als eerste gemeld door website beveiligingsbedrijf NinTechNet op hun blog nadat de ontwikkelaars van de plugin de kwetsbaarheid gepatched hadden.

De kwetsbaarheid stelt niet geautoriseerde personen in staat om de bestandsbeheer plugin te gebruiken door een onbeschermd bestand in het ‘elFinder’ pakket, waar de plugin gebruik van maakt, te plaatsen. NinTechNet heeft een stukje uit de access logs van een gehackte website gedeeld:

185.222.57.0 - - [31/Aug/2020:21:37:25 +0200] "POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1" 200 1085 www.xxxxxxxxx.com "-" "python-requests/2.24.0" "-" 
185.222.57.0 - - [31/Aug/2020:21:37:29 +0200] "POST //wp-content/plugins/wp-file-manager/lib/

Deze hacker  heeft het bestand  hardfork.php geüpload en dat script gebruik om code te injecteren in WordPress 

/wp-admin/admin-ajax.php
 en 
/wp-includes/user.php
.
Andere bestanden die geüpload worden zijn hardfork.php, hardfind.php, x.php, sadgafasdf.php en xsdaadf.php

Op het moment van schrijven wordt het lek misbruikt vanaf drie ip ranges:

185.222.57.0/24
89.238.178.0/24
74.50.48.0/20

Wil je meer weten over elFinder of hoe de kwetsbaarheid werkt? Neem dan een kijkje in deze blog post van WordFence.

 

Hungry for news?

Schrijf je in voor de Hosting.NL nieuwsbrief en blijf op de hoogte. Je gegevens worden gebruikt voor het verzenden van nieuws, technische updates en support artikelen.

Ingevoerde gegevens worden alleen gebruikt voor het toesturen van onze nieuwsbrieven

Nieusbrief