Toisaa viikolla kiihtyvää vauhtia tapahtuneet hyökkäykset johtuivat nollapäivähaavoittuvuudesta suositussa WordPress-pluginissa. File Manager -plugin on asennettu 700 000 sivustolle.

Aukon löytymisestä kertoi suomalainen WordPress-ylläpitopalvelu Seravo.

Haavoittuvuus koski autentikoimattoman tiedoston lataamista: jos sivustolla oli käytössä vanhempi versio File Managerista, pystyi sinne lataamaan haittakoodia tiedoston mukana.

Ennen iskuja viime viikolla havaittiin lisääntynyttä aktiivisuutta File Manageria käyttävillä sivustoilla, kun haavoittuvaisia sivuja etsittiin kohteiksi. Aukon avulla sivustoille ladattiin komentoriviohjelma piilotettuna kuvatiedostoon. Tämän jälkeen hyökkääjä otti sivuston haltuunsa ja liitti ne bottiverkkoonsa.

Defiant-yhtiön tietoturva-analyytikko Ram Gall kommentoi Zdnetille, että haavoittuvuutta käyttävien iskujen määrä kasvoi dramaattisesti viime viikolla hitaan alun jälkeen. Defiant laski iskun saavuttaneen miljoona sivustoa viime perjantaina 4. syyskuuta. Gallin mukaan Defiantin Wordfence-web-palomuuri oli estänyt tunkeutumisyritykset yli 1,7 miljoonaalle sivustolle ja että iskun todellinen laajuus on vielä sitäkin suurempi.

File Managerin kehittäjät toimivat nopeasti ja kehittivät paikkauksen reikään samana päivänä, kun he kuulivat ongelmasta. Tietoturva-aukon tilkitsevä päivitys sisältyy WP File Managerin versioon 6.9.

Sivustojen paikkaamisen haasteisiin on jatkossa saatavissa helpotusta. Elokuussa julkaistun WordPress 5.5:n myötä sivustojen ylläpitäjät voivat asettaa WordPressin lataamaan automaattisesti päivitykset käytössä oleviin teemoihin ja lisäosiin.