Forscher des Sicherheitsunternehmens Wordfence haben in fünf WordPress-Plug-ins den gleichen schädlichen Code entdeckt. Lediglich eines der betroffenen Plug-ins hat ein Update erhalten, welches die Schadsoftware entfernt. Für die anderen Plug-ins wird empfohlen, sie zu entfernen.
In einem Blogbeitrag informierte Wordfence darüber, dass das Plug-in “Social Warfare” durch einen Foren-Post am Montag auffiel. Das WordPress Plug-in Review Team stellte dann am Samstag fest, dass bösartiger Code in das Plug-in eingefügt wurde. Bei der Untersuchung des Plug-ins entdeckten die Forscher von Wordfence noch vier weitere Plug-ins, die den gleichen schädlichen Code enthielten.
Ein Angreifer hat den Quellcode mehrerer Plug-ins manipuliert und Schadcode eingefügt, um Zugangsdaten aus der Datenbank zu extrahieren und neue bösartige Administratorkonten anzulegen. Diese Daten werden dann an einen externen Server übermittelt.
Die Sicherheitslücke (CVE-2024-6297) wurde von Wordfence beschrieben, jedoch liegen noch kein CVSS-Wert und keine Risikoeinstufung vor. In ihrem Blogbeitrag weisen die Forscher darauf hin, dass auch schädlicher JavaScript-Code im Footer der betroffenen Webseiten platziert wird, der SEO-Spam in die Seiten einfügt.
Die folgenden Plug-ins weisen eine Infektion mit Malware auf:
– Social Warfare, Version 4.4.6.4 – 4.4.7.1, mit 30.000 Installationen
– Blaze Widget, Version 2.2.5 – 2.5.2, mit 60 Installationen
– Wrapper Link Elementor, Version 1.0.2 – 1.0.3, mit 1000 Installationen
– Contact Form 7 Multi-Step Addon, Version 1.0.4 – 1.0.5, mit 700 Installationen
– Simply Show Hooks, Version 1.2.1, ohne aktive Installationen
Für Social Warfare steht eine bereinigte Version, 4.4.7.3, zur Verfügung. Beim Wrapper Link Elementor scheint jemand den Schadcode entfernt zu haben, jedoch ist die neueste verfügbare Version 1.0.0, deren Versionsnummer niedriger ist als die der infizierten Versionen. Daher sollten Webseitenbetreiber die betroffenen Plug-ins, für die kein Update verfügbar ist, deinstallieren.
WordPress hat mittlerweile den Download der betroffenen Plug-ins blockiert. Falls jemand diese Plug-ins installiert hat, sollte er seine Instanz als kompromittiert ansehen und sofortige Maßnahmen zur Eindämmung von IT-Sicherheitsvorfällen ergreifen. Dazu gehört beispielsweise die Überprüfung von Administratorkonten in WordPress, das Löschen von nicht autorisierten Konten und die Untersuchung der Installation auf Schadcode. Falls erforderlich, sollte dieser entfernt werden.
Da es eine große Anzahl von WordPress-Plug-ins gibt, entdecken IT-Forscher täglich Sicherheitslücken. Im Monat April stießen die Mitarbeiter von Wordfence beispielsweise auf eine Sicherheitslücke im Plug-in Layerslider. Diese Schwachstelle wurde als kritisch eingestuft und ermöglichte es Angreifern, eigene SQL-Befehle einzufügen.
Schlagwörter: Wordfence + WordPress + 4.4.7.1
Wie bewerten Sie den Schreibstil des Artikels?