Kritische Sicherheitslücken in WordPress-Plugins, die in freier Wildbahn ausgenutzt werden

Fehler in WordPress ermöglichten es Hackern möglicherweise, Administratorrechte zu erlangen und Daten von anfälligen Websites zu entfernen

Fehler in WordPress ermöglicht Remote-Angreifer auf WebsitesNeue Konten mit Administratorrechten können erstellt und für die vollständige Website-Übernahme verwendet werden. Hacker nutzten aktiv kritische Fehler in WordPress-Plugins aus, die es ihnen ermöglichten, den Inhalt von Websites vollständig zu kontrollieren und sogar zu beseitigen. Im WordPress-Plugin ThemeREX Addons wurde eine Zero-Day-Schwachstelle entdeckt.[1] Wenn der Fehler ausgenutzt wird, können Angreifer Konten mit Administratorrechten erstellen, sodass Websites übernommen werden können.

Das jeweilige Plugin ist laut der Sicherheitsfirma Wordfence auf mindestens 44.000 Websites installiert, sodass diese Websites alle anfällig sind.[2] Das Plugin bietet 466 kommerzielle WordPress-Themes und -Vorlagen zum Verkauf, damit Kunden Themes einfacher konfigurieren und verwalten können.

Das Plugin funktioniert, indem es einen WordPress-REST-API-Endpunkt einrichtet, jedoch ohne zu überprüfen, ob Befehle, die an diese REST-API gesendet werden, vom Site-Besitzer oder einem autorisierten Benutzer stammen oder nicht. Auf diese Weise kann Remote-Code von jedem nicht authentifizierten Besucher ausgeführt werden.

[3]

Ein weiterer Fehler im Zusammenhang mit den WordPress-Themes wurde in Plugins von ThemeGrill gefunden, die Website-Themes an mehr als 200.000 Websites verkaufen. Der Fehler ermöglichte es Angreifern, die jeweilige Nutzlast an diese anfälligen Sites zu senden und gewünschte Funktionen auszulösen, nachdem sie Administratorrechte erlangt hatten.[4]

Das Schema trojanisierter WordPress-Themes, das zu kompromittierten Servern führte

Laut Analyse ermöglichten solche Fehler die Kompromittierung von mindestens 20.000 Webservern auf der ganzen Welt. Es hat möglicherweise zu Malware-Installationen und böswilliger Werbung geführt. Mehr als ein Fünftel dieser Server gehören mittelständischen Unternehmen, die weniger Geld zu verdienen haben mehr benutzerdefinierte Websites im Gegensatz zu größeren Firmen, daher sind solche Sicherheitsvorfälle auch in Beschädigung.

Die Nutzung eines so weit verbreiteten CMS hat möglicherweise bereits 2017 begonnen. Hacker können ihre Ziele erreichen und aufgrund des mangelnden Sicherheitsbewusstseins der Opfer unwissentlich verschiedene Websites kompromittieren. Zusätzlich zu den erwähnten anfälligen Plugins und anderen Fehlern wurden 30 Websites entdeckt, die WordPress-Themes und -Plugins anbieten.[5]

Es wurden trojanisierte Pakete installiert, und Benutzer verbreiten bösartige Dateien, ohne zu wissen, dass ein solches Verhalten Angreifern die volle Kontrolle über den Webserver ermöglicht. Von dort aus ist das Hinzufügen von Administratorkonten, das Wiederherstellen von Webservern und sogar der Zugriff auf Unternehmensressourcen einfach.

Darüber hinaus kann die in solchen Angriffen enthaltene Malware:

  • mit Hacker-eigenen C&C-Servern kommunizieren;
  • Dateien vom Server herunterladen;
  • Cookies hinzufügen, um verschiedene Besucherdaten zu sammeln;
  • sammeln Informationen über die betroffene Maschine.

Außerdem können Kriminelle, die an solchen Schemata beteiligt sind, Schlüsselwörter, bösartige Werbung und andere Techniken verwenden:

In zahlreichen Fällen war die Werbung völlig harmlos und führte den Endbenutzer zu einem legitimen Dienst oder einer legitimen Website. In anderen Fällen haben wir jedoch Pop-up-Anzeigen beobachtet, die den Benutzer dazu aufforderten, potenziell unerwünschte Programme herunterzuladen.

WordPress ist das beliebteste CMS der Welt

Die jüngsten Berichte zeigen, dass die Verwendung eines CMS nicht mehr optional ist und auf dem Vormarsch ist. Insbesondere für Unternehmensunternehmen und Headless-Anwendungen, die Inhalte getrennt von der anfänglichen Anzeigeschicht oder der Front-End-Benutzererfahrung steuern.[6] Die Forschung zeigt, dass die Nutzung von WordPress im Vergleich zu anderen Content-Management-Systemen zugenommen hat.

Außerdem profitieren Unternehmen eindeutig davon, mehr als ein CMS gleichzeitig zu verwenden, sodass diese Praxis immer beliebter wird. Das ist besonders praktisch, wenn es um solche Probleme mit Schwachstellen und Fehlern oder andere Probleme in Bezug auf die Dienste, den Datenschutz und die Sicherheit Ihrer Website und sensibler Daten geht.

Mögliche Schritte

Forscher raten Organisationen und Administratoren:

  • vermeiden Sie die Verwendung von Raubkopien;
  • Aktivieren und aktualisieren Sie Windows Defender oder andere AV-Lösungen;
  • Vermeiden Sie die Wiederverwendung von Passwörtern über Konten hinweg;
  • Aktualisieren Sie das Betriebssystem regelmäßig
  • verlassen sich auf Patches, die für einige dieser Schwachstellen und Updates für bestimmte Plugins verfügbar sind.