Tientallen plug-ins voor de veelgebruikte open source webblogsoftware WordPress zijn nu offline nadat er een achterdeur in werd ontdekt, die werd gebruikt om kwaadaardige code naar elke website te pushen die afhankelijk was van de plug-ins. De achterdeur werd ontdekt nadat een nieuwe bedrijfseigenaar deze plug-ins had gekocht.
Anchor Hosting-oprichter Austin Ginder sloeg alarm in een blogpost van vorige week beschrijft een supply chain-aanval op een WordPress-plug-inmaker genaamd Essential Plugin. Ginder zei vorig jaar iemand heb de Essential-plug-in gekocht en de achterdeur werd al snel toegevoegd aan de broncode van de plug-ins. De achterdeur bleef inactief tot eerder deze maand, toen deze werd geactiveerd en kwaadaardige code begon te verspreiden naar elke website waarop plug-ins waren geïnstalleerd.
Essentiële plug-in zegt op zijn website dat het ruim 400.000 plug-in-installaties en ruim 15.000 klanten heeft. Installatiepagina voor WordPress-plug-ins zegt de getroffen plug-ins bevinden zich in meer dan 20.000 actieve WordPress-installaties.
Met plug-ins kunnen eigenaren van op WordPress gebaseerde websites de functionaliteit van de website uitbreiden, maar geven ze daarmee de plug-ins toegang tot hun installaties, waardoor die websites kunnen worden blootgesteld aan kwaadaardige extensies en mogelijke compromitteringen. Maar Ginder waarschuwde dat WordPress-gebruikers niet op de hoogte worden gesteld van de eigendomsverandering van een plug-in, waardoor gebruikers worden blootgesteld aan mogelijke overnameaanvallen door hun nieuwe eigenaren.
Volgens Ginder wel andere kaping van een WordPress-plug-in die in evenveel weken is ontdekt. Beveiligingsonderzoekers hebben dat gedaan lang gewaarschuwd van het risico dat kwaadwillende actoren software kopen en de code ervan wijzigen om grote aantallen computers over de hele wereld in gevaar te brengen.
Terwijl plug-ins is verwijderd uit de WordPress-directory en nu de sluiting ervan als “permanent” vermeldt, waarschuwde Ginder WordPress-eigenaren om te controleren of ze nog steeds een van de kwaadaardige plug-ins geïnstalleerd hebben en deze te verwijderen. Ginder heeft een lijst met de getroffen plug-ins in de blogpost.
Vertegenwoordigers van Essential Plugin hebben niet gereageerd op een verzoek om commentaar.
