De nieuwsbrief-plug-in MailPoet is gepatcht in versie 2.6.8 eerder deze maand, maar de afgelopen week zijn ondanks dat duizenden sites per dag geïnfecteerd via het lek. Dankzij de bug krijgen aanvallers toegang tot het CMS en kunnen ze elk PHP-bestand uploaden. Daarmee kan de site worden ingezet als bijvoorbeeld phishing-site of malwareverspreider.

Ook sites die de plug-in niet eens zelf draaien zijn slachtoffer geworden, waarschuwt beveilgingsbedrijf Sucuri. "Voor alle duidelijkheid: de kwetsbaarheid in MailPoet is de ingang, maar dat betekent niet dat jouw website deze ingeschakeld moet hebben of dat het aanwezig is op de website; als het op de server staat, bij een naburige website, kan het nog steeds gevolgen hebben voor jouw website", aldus CTO Daniel Cid van Sucuri.

Serverbotnets

Het probleem, zoals vaker, is dat beheerders van dergelijke sites niet allemaal de software tijdig bijwerken. Op deze manier worden server die het populaire CMS draaien vaak op de korrel genomen, onder meer voor het bouwen van serverbotnets. Prolexic waarschuwde deze week nog dat botnetherders op deze manier via CMS'en zombies inwinnen.