Sneeit WordPress RCE wordt in het wild uitgebuit terwijl ICTBroadcast-bug Frost Botnet-aanvallen voedt

Cyberbeveiliging
Sneeit WordPress RCE wordt in het wild uitgebuit terwijl ICTBroadcast-bug Frost Botnet-aanvallen voedt

Volgens gegevens van Wordfence wordt een kritieke beveiligingsfout in de Sneeit Framework-plug-in voor WordPress actief misbruikt.

Het gaat om de kwetsbaarheid voor het uitvoeren van externe code CVE-2025-6389 (CVSS-score: 9,8), wat van invloed is op alle versies van de plug-in vóór en inclusief 8.3. Er is een patch voor aangebracht in versie 8.4, uitgebracht op 5 augustus 2025. De plug-in heeft meer dan 1.700 actieve installaties.

“Dit komt doordat de functie (sneeit_articles_pagination_callback()) gebruikersinvoer accepteert en die vervolgens doorgeeft via call_user_func()”, aldus Wordfence. “Dit maakt het voor niet-geverifieerde aanvallers mogelijk om code op de server uit te voeren, die kan worden gebruikt om backdoors te injecteren of bijvoorbeeld nieuwe administratieve gebruikersaccounts aan te maken.”

Met andere woorden, de kwetsbaarheid kan worden misbruikt om een ​​willekeurige PHP-functie aan te roepen, zoals wp_insert_user(), om een ​​kwaadwillende beheerder in te voegen, die een aanvaller vervolgens als wapen kan gebruiken om de controle over de site over te nemen en kwaadaardige code te injecteren die sitebezoekers kan omleiden naar andere schetsmatige sites, malware of spam.

Wordfence zei dat de exploitatie in het wild begon op 24 november 2025, dezelfde dag dat het openbaar werd gemaakt, waarbij het bedrijf meer dan 131.000 pogingen tegen de fout blokkeerde. Hiervan werden alleen al in de afgelopen 24 uur 15.381 aanvalspogingen geregistreerd.

Enkele van de inspanningen omvatten het verzenden van speciaal vervaardigde HTTP-verzoeken naar het “/wp-admin/admin-ajax.php” eindpunt om een ​​kwaadaardig beheerdersaccount zoals “arudikadis” aan te maken en een kwaadaardig PHP-bestand “tijtewmg.php” te uploaden dat waarschijnlijk achterdeurtoegang verleent.

De aanvallen zijn afkomstig van de volgende IP-adressen:

  • 185.125.50(.)59
  • 182.8.226(.)51
  • 89.187.175(.)80
  • 194.104.147(.)192
  • 196.251.100(.)39
  • 114.10.116(.)226
  • 116.234.108(.)143

Het WordPress-beveiligingsbedrijf zei dat het ook kwaadaardige PHP-bestanden heeft waargenomen die de mogelijkheid bieden om mappen te scannen, bestanden en hun machtigingen te lezen, bewerken of verwijderen, en de extractie van ZIP-bestanden mogelijk te maken. Deze PHP-bestanden hebben de namen “xL.php”, “Canonical.php”, “.a.php” en “simple.php.”

De “xL.php”-shell wordt, volgens Wordfence, gedownload door een ander PHP-bestand genaamd “up_sf.php” dat is ontworpen om de kwetsbaarheid te misbruiken. Het downloadt ook een “.htaccess”-bestand van een externe server (“racoonlab(.)top”) naar de besmette host.

“Dit .htaccess-bestand zorgt ervoor dat toegang tot bestanden met bepaalde bestandsextensies wordt verleend op Apache-servers”, aldus István Márton. “Dit is handig in gevallen waarin andere .htaccess-bestanden de toegang tot scripts verbieden, bijvoorbeeld in uploadmappen.”

ICTBroadcast-fout benut om ‘Frost’ DDoS-botnet te leveren

De onthulling komt op het moment dat VulnCheck zei dat het nieuwe aanvallen heeft waargenomen die misbruik maken van een kritieke ICTBroadcast-fout (CVE-2025-2611, CVSS-score: 9,3) gericht op zijn honeypot-systemen om een ​​shell-script-stager te downloaden die meerdere architectuurspecifieke versies downloadt van een binair bestand genaamd “frost”.

Elk van de gedownloade versies wordt uitgevoerd, gevolgd door het verwijderen van de payloads en de stager zelf om sporen van de activiteit te verdoezelen. Het einddoel van de activiteit is het uitvoeren van gedistribueerde denial-of-service (DDoS)-aanvallen op interessante doelwitten.

“Het ‘frost’ binaire bestand combineert DDoS-tooling met spreaderlogica die veertien exploits voor vijftien CVE’s omvat”, aldus Jacob Baines van VulnCheck. “Het belangrijkste is hoe het zich verspreidt. De exploitant bombardeert het internet niet met exploits. ‘Frost’ controleert eerst het doelwit en gaat pas verder met de exploitatie als het de specifieke indicatoren ziet die het verwacht.”

Het binaire bestand maakt bijvoorbeeld alleen misbruik van CVE-2025-1610 nadat het een HTTP-antwoord heeft ontvangen dat ‘Set-Cookie: user=(null)’ bevat en vervolgens een vervolgantwoord op een tweede verzoek dat ‘Set-Cookie: user=admin’ bevat. Als deze markeringen niet aanwezig zijn, blijft het binaire bestand inactief en doet het niets. De aanvallen worden gelanceerd vanaf het IP-adres 87.121.84(.)52.

Hoewel de geïdentificeerde kwetsbaarheden zijn uitgebuit door verschillende DDoS-botnets, wijst het bewijs erop dat de nieuwste aanvallen een kleine, gerichte operatie zijn, aangezien er minder dan 10.000 aan het internet blootgestelde systemen zijn die daarvoor vatbaar zijn.

“Dit beperkt hoe groot een botnet dat op deze CVE’s is gebouwd, kan worden, waardoor deze operator een relatief kleine speler is”, aldus Baines. “Met name de ICTBroadcast-exploit die dit voorbeeld opleverde, verschijnt niet in het binaire bestand, wat aangeeft dat de operator extra mogelijkheden heeft die hier niet zichtbaar zijn.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

MuddyWater zet UDPGangster-achterdeur in in gerichte Turkije-Israël-Azerbeidzjan-campagne

De gevolgen van de antitrustwetgeving van Google zijn officieel: de rechter rondt de remedies af

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]