Nadat afgelopen donderdag bekend werd dat er volop misbruik werd gemaakt van een zero day lek in de Yuzo plugin, is het nu weer raak. Dit keer gaat het om een kwetsbaarheid in Yellow Pencil. Dat meldt Security.nl.
Lek in Yellow Pencil plugin
Yellow Pencil is een visual design plugin die gebruikt wordt voor het aanpassen van WordPress thema’s en op meer dan 30.000 websites geïnstalleerd is. WordPress had de Yellow Pencil plugin maandag al uit het WordPress.org plugin directory verwijderd. Een security onderzoeker maakte vervolgens “de onverantwoordelijke en gevaarlijke beslissing om een blogpost te publiceren, inclusief een proof of concept (POC) waarin staat beschreven hoe twee software kwetsbaarheden in de plugin misbruikt kunnen worden” – en vanaf dat moment begon het misbruik, volgens Wordfence onderzoekers.
Onmiddellijk updaten
In een security update op hun website drong Yellow Pencil er bij gebruikers op aan om zo snel mogelijk te updaten naar de meest recente versie van de plugin, 7.2.0.
“Als je website niet doorverwijst naar malware websites, is je website niet gehackt. Maar je moet de plugin snel updaten naar de laatste versie om je website veilig te houden. Versie 7.2.0 is veilig en alle oudere versies vormen nu een risico.”
“Het werk van dezelfde speler”
De onderzoekers van Wordfence zeiden dat ze ervan overtuigd zijn dat de Yellow Pencil plugin wordt misbruikt door dezelfde hacker die recentelijk andere plugins heeft misbruikt – inclusief Social Warfare, Easy WP SMTP en afgelopen week dus de Yuzo plugin. Dat is omdat het IP-adres van de domeinhosting in het kwaadaardige script hetzelfde is als bij de andere aanvallen.
“We zien weer overeenkomsten tussen deze misbruik pogingen en aanvallen op recentelijk ontdekte kwetsbaarheden in de Social Warfare, Easy WP SMTP en Yuzo Related Posts plugins,” zeiden ze. We zijn ervan overtuigd dat alle vier de aanvalscampagnes het werk zijn van dezelfde speler.”
Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden
