Opinie
 
PREMIUM

Beveiligingslek in WordPress misbruikt voor malware-campagne

Foto: Hits van aangevallen WordPress-websites

Amsterdam – ThreatLabZ-onderzoekers van  Zscaler hebben de vooralsnog eerste malware-campagne ontdekt waarbij aanvallers de Live Chat Support plugin-kwetsbaarheid in WordPress misbruiken. De aanvallers injecteerden een malafide script dat zorgt voor redirects naar andere webpagina’s, waarbij ongewenste pop-ups en fake subscriptions en pop-ups getoond worden.

Onlangs werd een ‘cross-site script’-kwetsbaarheid ontdekt in de populaire WordPress Live Chat Support-plugin. WordPress is een veelgebruikt contentmanagementsysteem (CMS), wat het tevens populair maakt onder cybercriminelen. Door de kwetsbaarheid kunnen aanvallers de plugin-instellingen wijzigen en malafide JavaCript-code invoegen op plekken waar de Live Chat Support-functie op een WordPress-site wordt getoond. Voor de gepatchte versie van de kwetsbare plugin is sinds halverwege mei een update beschikbaar.

Zonder patch biedt een dergelijke kwetsbaarheid aanvallers de mogelijkheid om malafide code te injecteren, wat grote gevolgen kan hebben voor argeloze websitebezoekers. Het is essentieel dat website-eigenaren die gebruik maken van de Live Chat Support-plugin de security update uitvoeren - des te meer omdat het in dit geval een pre-autorisatie-kwetsbaarheid betreft met een mogelijk grote impact tot gevolg. Websites waarbij de plugin niet wordt geüpdate om het lek te dichten, blijven vatbaar voor aanvallen.
 

Meer

Rating

Rate!
0 rating(s).

Tags

Zscaler, 05-06-2019 11:31:00

Wil je meer weten over termen of afkortingen uit de tech industrie? Kijk dan ook eens in de glossary.