Wordpress: Übernahme durch Lücke in Royal Elementor Addons and Template
Im Wordpress-Plug-in Royal Elementor Addons and Template missbrauchen Cyberkriminelle eine kritische Lücke. Sie nutzen sie zur Übernahme von Instanzen.
(Bild: David MG / Shutterstock.com)
Angreifer können aufgrund einer Sicherheitslücke in Royal Elementor Addons and Templates, einem populären Wordpress-Add-on, ohne Authentifizierung beliebige Dateien hochladen. Die Lücke missbrauchen Cyberkriminelle bereits. Sie erlangen die vollständige Kontrolle.
Das Add-on ist auf mehr als 200.000 Wordpress-Instanzen anzutreffen. Nicht angemeldete Angreifer können durch die Sicherheitslücke PHP-Dateien hochladen – etwa Backdoors. Die Lücke hat die CVE-Nummer CVE-2023-5360 erhalten und wird mit einem CVSS-Wert von 9.8 mit dem Risiko "kritisch" eingestuft.
Wordpress-Addon: Lücke wird bereits angegriffen
Die IT-Forscher von Wordfence schreiben in einem Blogbeitrag, dass sie in den vergangenen 30 Tagen mehr als 46.000 Angriffe auf die Schwachstelle beobachtet und blockiert hätten. Die Angriffe finden Ende August an, es gebe jedoch Hinweise, dass der Exploit seit Ende Juli dieses Jahres entwickelt wurde.
Konkret ist die Lücke auf eine unzureichende Überprüfung des Dateityps in der Funktion handle_file_upload() zurückzuführen, die über AJAX aufgerufen wird. Dadurch können Angreifer eine bevorzugte Dateityperweiterung mit einem Sonderzeichen an den Parameter 'allowed_file_types' übergeben, wodurch die hochgeladene Datei die Filterliste umgehen kann. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien auf den Server der betroffenen Website hochzuladen, was eine entfernte Codeausführung ermöglichen kann, erläutern die Autoren die Lücke im Detail.
Indizien für einen Angriff (Indicators of Compromise, IOCs) liefern die Wordfence-Forscher ebenfalls. Drei IP-Adressen seien bei den Angriffen aufgefallen:
- 65.21.22.78.
- 2a01:4f9:3080:4eea::2 und
- 135.181.181.50
Die Angreifer versuchten, die Dateien b1ack.p$hp sowie wp.ph$p hochzuladen. Betroffen ist Royal Elementor Addons and Templates demnach in der Version 1.3.78 und älter. Die jüngst bereitgestellte Fassung 1.3.79 schließt die Sicherheitslücke. Wordpress-Administratoren mit dem Plug-in sollten das Update umgehend installieren und ihre Systeme auf Einbruchsspuren untersuchen.
Die unzähligen, teils schlecht gepflegten Plug-ins für Wordpress sorgen immer wieder für Sicherheitslücken, durch die Angreifer aus dem Netz Wordpress-Instanzen vollständig kompromittieren können. Im Mai konnte eine Lücke im auf mehr als einer Million Wordpress-Instanzen laufenden Essential Addon for Elementor von bösartigen Akteuren missbraucht werden, um die Kontrolle zu übernehmen.
(dmk)
