Let’s Encrypt-logs vermoedelijk gebruikt voor infecteren WordPress-installaties

Let’s Encrypt-logs vermoedelijk gebruikt voor infecteren WordPress-installaties

De afgelopen weken wisten aanvallers meerdere schone WordPress-installaties met malware te infecteren, waarbij ze vermoedelijk logs of informatie van certificaatautoriteit Let’s Encrypt gebruikten. Na de installatie van WordPress moet die nog worden geconfigureerd. Het gebeurt al lange tijd dat aanvallers erin slagen om nog niet geconfigureerde WordPress-installaties te kapen.

“Dit kan omdat WordPress geen beperkingen voor het configureren kent zodra de bestanden op de website zijn geladen kun je die met een database op een andere server configureren, zodat je geen toegang tot bestaande inloggegevens voor de website hoeft te hebben”, stelt securitybedrijf White Fir Design. In de meeste gevallen zullen mensen na de installatie van WordPress die ook meteen configureren.

De afgelopen weken verschenen echter meerdere meldingen van WordPress-gebruikers die stelden dat hun installatie werd geïnfecteerd kort na het aanvragen van een tls-certificaat voor hun website bij Let’s Encrypt. Let’s Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft die zijn te gebruiken voor het opzettten van een beveiligde verbinding en het identificeren van de website.

Let’s Encrypt maakt gebruik van Certificate Transparency (CT), een systeem dat de uitgifte van tls-certificaten logt en monitort. Hiervoor slaat Let’s Encrypt alle uitgegeven certificaten in CT-logs op. Het vermoeden is nu dat aanvallers deze CT-logs continu bekijken om zo WordPress-websites te vinden die nog niet zijn geconfigureerd. De aanvallers configureren deze websites en voegen een malafide script toe. Het gaat om een webshell waarmee aanvallers op afstand code kunnen uitvoeren. De gecompromitteerde WordPress-sites worden vervolgens voor het uitvoeren van ddos-aanvallen gebruikt.

Bron: https://www.security.nl/posting/750062/Let%E2%80%99s+Encrypt-logs+vermoedelijk+gebruikt+voor+infecteren+WordPress-installaties?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.