Angriffe auf hochriskante SicherheitslĂĽcke in Wordpress-Plug-in Elementor Pro
Angreifer missbrauchen eine SicherheitslĂĽcke im Wordpress-Plug-in Elementor Pro zum Einbrechen in Webseiten. Admins sollten die Updates umgehend installieren.
Eine als hochriskant eingestufte SicherheitslĂĽcke im Wordpress-Plug-in Elementor Pro wird von Angreifern missbraucht, um administrativen Zugang zu den Wordpress-Webseiten zu erlangen. Das Plug-in ist auf mehr als 5 Millionen Wordpress-Seiten installiert. Aktualisierte Software steht bereit, die die Schwachstelle abdichtet.
Die IT-Forscher von Patchstack melden, dass eine kürzlich entdeckte und geschlossene Sicherheitslücke in Elementor Pro inzwischen aktiv angegriffen wird. Cyber-Einbrecher können die volle Kontrolle über verwundbare Systeme erlangen. Laut der Wordpress-Seite gibt es mehr als fünf Millionen aktive Installationen des Plug-ins. Davon sind jedoch lediglich die Installationen betroffen, die die Pro-Version einsetzen, die zudem in Kombination mit Woocommerce installiert wurden.
Hochriskante LĂĽcke in Kombination mit Woocommerce
Sofern Woocommerce auf der Wordpress-Instanz läuft, lädt Elementor Pro die Komponente elementor-pro/modules/woocommerce/module.php
, die einige Ajax-Aktionen registriert. Eine davon überprüft Nutzereingaben nicht ausreichend und beschränkt Aktionen nicht auf hochprivilegierte Nutzer. Durch einige weitere Unzulänglichkeiten lassen sich weitere Schutzmaßnahmen in der verwundbaren Version umgehen.
Angemeldete Nutzer können am Ende ein Administrator-Konto erstellen. Durch das Woocommerce-Plug-in kann sich jeder Webseiten-Besucher ein Kundenkonto anlegen und die Lücke missbrauchen, erläutert Nintech in einer Sicherheitsmeldung zur Schwachstelle. Das Risiko stufen die IT-Forscher als hoch ein (CVSS 8.8). Die Schwachstelle findet sich in Elementor vor Version 3.11.7. Aktuell ist der Stand 3.12.0. Administratoren einer Wordpress-Webseite mit Elementor Pro und Woocommerce sollten umgehend prüfen, ob sie die Fassung 3.11.7 oder neuer des Plug-ins einsetzen und es gegebenenfalls auf den aktuellen Stand bringen.
Einbruchs-Indizien
Patchstack mutmaßt, dass Angreifer nach einer erfolgreichen Attacke "die Website wahrscheinlich entweder auf eine andere bösartige Domain umleiten oder ein bösartiges Plug-in oder eine Backdoor hochladen, um die Website weiter zu unterwandern". Die IT-Sicherheitsforscher listen einige Indicators of Compromise (IOCs) auf, also Indizien, die auf einen Angriff hinweisen. So seien Angriffe von den IP-Adressen
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
ausgegangen. Die Einbrecher hätten folgende Dateien hochgeladen:
- wp-resortpack.zip
- wp-rate.php
- lll.zip
Sollten solche Dateien in den Verzeichnissen der Wordpress-Installation auftauchen, sollten IT-Verantwortliche die Instanzen grĂĽndlich untersuchen.
Allein aufgrund der schieren Menge an Plug-ins finden sich häufig welche mit Sicherheitslücken darin. Ende Januar war etwa das Wordpress-Plug-in Learnpress von einer kritischen Sicherheitslücke betroffen. Es kommt auf mehr als 75.000 Webseiten zum Einsatz.
(dmk)