Vollzugriff durch HintertĂĽr in WordPress-Erweiterungen
Bei einem Servereinbruch landete Hintertür-Schadcode in Plugins und Themes von AccessPress. Angreifer könnten dadurch WordPress-Instanzen übernehmen.
Bei der Untersuchung einer kompromittierten Webseite stieĂźen Analysten der IT-Sicherheitsfirma Jetpack auf HintertĂĽren, die Cyberkriminelle bei einem Einbruch in die Server von AcessPress in dessen Plug-ins und Themes eingebaut haben.
Damit könnten die Angreifer sich Vollzugriff auf WordPress-Instanzen verschaffen. Nutzer von Themes oder Plug-ins des Anbieters sollten ihr WordPress unbedingt auf bestimmte Modifikationen untersuchen und das Theme aktualisieren oder auf das eines anderen Anbieters umstellen.
Nur beim Anbieter infiziert
Im Laufe der weiteren Analyse haben die Sicherheitsforscher in allen Themes und Plug-ins von AccessPress den verdächtigen Code gefunden – jedoch nur, wenn sie von der Webseite des Anbieters heruntergeladen wurden. Die im Wordpress.org-Repository hinterlegten Erweiterungen des Anbieters waren hingegen sauber.
Bei dem eingeschleusten Schadcode handelt es sich um einen Dropper fĂĽr eine Webshell, die den Angreifern Vollzugriff auf das WordPress erlaubt. Der Einbruch habe im September 2021 stattgefunden; Manipulationen an den Themes und Plug-ins erfolgten an mehreren Tagen des Monats. Wer also seit September 2021 eine Aktualisierung oder Installation der AccessPress-Erweiterungen von deren Webseite vorgenommen hat, hat sich damit wahrscheinlich die HintertĂĽr eingefangen.
Zahlreiche Themes und Plug-ins betroffen
In Jetpacks Sicherheitsmeldung listen die Forscher zahlreiche Plug-ins und Themes in Tabellen auf, die den Schadcode enthielten. Da AccessPress auch bezahlte Erweiterungen anbietet, die JetPack nicht ĂĽberprĂĽft hat, sind sehr wahrscheinlich alle auf der Webseite angebotenen Erweiterungen betroffen, nicht nur die aufgelisteten.
AccessPress hat die Erweiterungen von der Webseite zunächst entfernt und stückweise aktualisierte, bereinigte Plug-ins und Themes bereitgestellt. Bei den Themes blieb die Versionsnummer gleich, das Veröffentlichungsdatum nach dem 20. Januar 2022 weist jedoch auf die bereinigte Version. Im WordPress-Repository wurden die Themes entfernt, die Updates gibt es dort derzeit nicht.
Betroffene WordPress-Instanzen bereinigen
Sofern Nutzer der AccessPress-Themes diese nicht aus den WordPress-Repositories installiert haben, sollten sie das eingesetzte Theme aktualisieren oder entfernen und durch ein Theme von einem anderen Anbieter ersetzen. Sie sollten zudem die aktualisierten Plug-ins installieren.
Weiterhin sollten Administratoren nach Modifikationen im WordPress suchen, die Jetpack unter den Details der Sicherheitsmeldung nennt, um etwa eine installierte HintertĂĽr aufzuspĂĽren. Um etwaige Ă„nderungen an den Kerndateien von WordPress zu entfernen, empfiehlt Jetpack weiter, die eine saubere Version von Wordpress ĂĽberzuinstallieren.
Themenseite zu WordPress auf heise online
(dmk)