Een onbekend aantal WordPress-sites is voorzien van een backdoor en malafide admin-account nadat plug-in-leverancier OptinMonster getroffen werd door een supplychain-aanval. OptinMonster biedt de plug-ins OptinMonster, TrustPulse en PushEngage, onder andere gebruikt voor e-mailmarketing, ‘lead generation’ en het genereren van meer omzet. De plug-ins draaien op meer dan 1,2 miljoen websites, waarbij OptinMonster met meer dan een miljoen installaties de populairste is.

Volgens OptinMonster hebben aanvallers toegang gekregen tot het content delivery network (CDN) dat het gebruikt, en daarvandaan vervolgens malware verspreid op WordPress-sites die de plug-ins geïnstalleerd hebben. In een bericht over de aanval stelt OptinMonster dat aanvallers een bekende kwetsbaarheid gebruikten in de WordPress-plug-in UpdraftPlus om toegang te krijgen tot de server waarop de marketingwebsite van het bedrijf draait.

Op deze server werd een API key voor het CDN-account van OptinMonster gevonden. Met deze key konden de aanvallers de bestanden aanpassen die via het CDN worden aangeboden. Bij de aanval werd een malafide script naar WordPress-sites gestuurd die de OptinMonster-plug-ins gebruiken. Dit script zorgde ervoor dat erop WordPress-sites waarop de beheerder was ingelogd een verborgen admin-account werd aangemaakt en een verborgen backdoorplug-in werd geïnstalleerd. OptinMonster stelt dat het malafide script alleen geactiveerd werd bij ingelogde beheerders.

De backdoor die bij de aanval werd toegevoegd is niet zichtbaar in het WordPress-dashboard. Beheerders zullen dan ook een check moeten uitvoeren op het filesystem van de server. OptinMonster en cybersecuritybedrijf Sansec hebben Indicators of compromise (IoC’s) gepubliceerd waarmee organisaties kunnen zien of hun WordPress-site is gecompromitteerd.

Het Nederlandse onderwijs moet minder afhankelijk worden van Google, Microsoft en andere Big Tech-bedrijven, omdat de totale …

Bron: Security.nl