Wordpress: Fünf Plug-ins mit Malware unterwandert
In fünf Wordpress-Plug-ins haben IT-Sicherheitsforscher dieselbe eingeschleuste Malware entdeckt. Nur für eines gibt es ein Update.
(Bild: Postmodern Studio/Shutterstock.com)
In fünf Plug-ins für das Content-Management-System Wordpress haben IT-Forscher von Wordfence den gleichen Schadcode aufgespürt. Nur für eines der betroffenen Plug-ins gibt es eine Aktualisierung, die die Malware entfernt. Die anderen Plug-ins sollten deinstalliert werden.
In einem Blog-Beitrag schreibt Wordfence, dass am Montag dieser Woche das Plug-in Social Warfare durch einen Foren-Post auffiel, in dem das Wordpress Plug-in Review Team berichtete, dass am Samstag dort bösartiger Code eingeschleust wurde. Bei der Untersuchung des Plug-ins fanden die IT-Forscher von Wordfence vier weitere Plug-ins, in denen der betreffende Schadcode enthalten war.
Bösartiger Code legt Administratorkonten in Wordpress an
Ein bösartiger Akteur hat den Quellcode verschiedener Plug-ins kompromittiert und Code eingeschleust, der Zugangsdaten zur Datenbank exfiltriert sowie genutzt wird, um neue, bösartige Administratorkonten anzulegen und diese Daten zu einem Server zu senden. Das schreibt Wordfence in den CVE-Eintrag zu Lücke (CVE-2024-6297, noch kein CVSS-Wert und keine Risikoeinstufung). Im Blog-Beitrag ergänzen die IT-Forscher, dass dabei offenbar auch bösartiger Javascript-Code im Footer der Webseiten landet, der SEO-Spam in die Seite einbaut.
Die folgenden Plug-ins sind mit der Malware infiziert:
- social-warfare, Version 4.4.6.4 – 4.4.7.1, 30.000+ Installationen
- blaze-widget, Version 2.2.5 – 2.5.2, 60+ Installationen
- wrapper-link-elementor, Version 1.0.2 – 1.0.3, 1000+ Installationen
- contact-form-7-multi-step-addon, Version 1.0.4 – 1.0.5, 700+ Installationen
- simply-show-hooks, Version 1.2.1, keine aktiven Installationen.
Von Social Warfare gibt es eine gepatchte Version, 4.4.7.3 soll bereinigt sein. In Wrapper Link Element scheint Wordfence zufolge jemand den Schadcode entfernt zu haben, jedoch ist die jüngste verfügbare Version 1.0.0, deren Versionsnummer kleiner als die der infizierten Versionen ist. Die Plug-ins ohne verfügbares Update sollten Webseitenbetreiber daher deinstallieren.
Den Download der Plug-ins hat Wordpress inzwischen blockiert. Wer die Plug-ins installiert habe, müsse seine Instanz als kompromittiert betrachten und sollte Notfallmaßnahmen zum Eindämmen von IT-Sicherheitsvorfällen ergreifen. Dazu gehört etwa das Prüfen auf Administratorkonten in Wordpress und das Löschen von nicht autorisierten Konten und der Untersuchung der Installation auf Schadcode und gegebenenfalls dessen Entfernung.
Aufgrund der Vielzahl von Wordpress-Plug-ins finden IT-Forscher täglich welche mit Sicherheitslücken. Im April entdeckten Wordfence-Mitarbeiter etwa im Plug-in Layerslider eine Schwachstelle. Sie galt als kritisch und erlaubte Angreifern, eigene SQL-Befehle einzuschleusen.
(dmk)
