Linux-malware pakt WordPress-sites met 30 exploits

Deze Linux-malware is geanalyseerd door antivirusleverancier Doctor Web, die meldt dat het werkt op 32-bit én x64-uitvoeringen van het opensourcebesturingssysteem. Het securitybedrijf geeft het de naam Linux.BackDoor.WordPressExploit.1. Websites die draaien op WordPress zijn al jaren een geliefd doelwit van cybercriminelen.

Patchen, patchen, patchen!

Beheerders kunnen hun sites wel beschermen tegen deze nieuwe Linux-malware, die vlak voor de jaarwisseling is ontdekt. Voor afweer moeten plugins en thema's voor WordPress goed worden nagelopen. Verouderde versies van die aanvullende software kunnen namelijk bekende kwetsbaarheden bevatten, waar één van de dertig exploits in Linux.BackDoor.WordPressExploit.1 dankbaar gebruik van kan maken.

Als een WordPress-server vatbaar is dan kan de malware een website of webpagina op die CMS-installatie aanpassen, het hele systeem op standby zetten of uitschakelen, het loggen van handelingen pauzeren. Met laatstgenoemde optie zijn vervolgstappen dan te verbergen. De Linux-malware kan via het injecteren van kwaadaardige JavaScript-code dan bezoekers van de gecompromitteerde website(s) omleiden naar eigen sites. Daar valt dan bijvoorbeeld phishing uit te voeren, of malware voor de pc's van die bezoekers te serveren.

Volgens Doctor Web gaat het om de volgende WordPress-plugins en -thema's die op de korrel worden genomen:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

Een bijgewerkte, nieuwere versie (Linux.BackDoor.WordPressExploit.2) van de Linux-malware pakt bovendien nog de volgende WordPress-aanvullingen aan:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin