|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Millionenfache Angriffe auf neue Zero-Day-Sicherheitslücke in Wordpress

09. September 2020

Mit Wordpress lassen sich schnell und einfach Webseiten erstellen und verwalten. Mittlerweile funktioniert das so gut, dass auch immer mehr Unternehmen auf das Content-Management-System (CMS) zurückgreifen, um ihren Auftritt im Netz zu gestalten. Laut einer Auswertung der Top-10-Millionen Websites im Alexa-Ranking von Statista verfügt Wordpress Anfang September 2020 über einen Marktanteil von 63,5 Prozent weltweit. Da ist es kein Wunder, dass das CMS auch als Ziel krimineller Hacker immer beliebter wird.

Das hat sich in der vergangenen Woche erneut gezeigt, als die Sicherheitsforscher von Defiant, der Firma hinter der Wordfence Web Firewall, eine großangelegte Kampagne gegen Wordpress-Seiten entdeckten. Der plötzliche Anstieg der Angriffszahlen erklärt sich durch eine neue Zero-Day-Sicherheitslücke, die kriminelle Hacker entdeckt haben. Betroffen sind mehr als 700.000 Seiten, die das Plug-in „File Manager“ nutzen. Durch einen Fehler beim Datei-Upload in einer älteren Version des Plug-ins lassen sich nicht authentifizierte und mit Schadcode infizierte Dateien hochladen. So können die Angreifer eine Webshell-Malware versteckt in einer Bilddatei auf den Server ihres Opfers laden und so die Kontrolle über die Webseite übernehmen. Diese wird im Anschluss in ein Botnetz eingebunden.

Wie genau die Hacker die Zero-Day-Lücke entdeckt haben ist nicht bekannt, wohl aber, wie sie ihre Opfer finden. Derzeit greifen sie auf der Suche nach Seiten mit dem verwundbaren Plug-in Millionen von Wordpress-Seiten an. Seit der Entdeckung der Angriffe am Dienstag vergangener Woche wurden bei Defiant 1,7 Millionen versuchte Angriffe registriert, davon allein eine Million am Freitag, den 4. September. Damit wurde mittlerweile die Hälfte aller Seiten, die eine Wordfence Web Firewall nutzen, attackiert. Und laut Defiant dürfte das nur die Spitze des Eisbergs sein, denn es gibt Millionen von Seiten, die kein Produkt von Defiant nutzen und damit in der Analyse nicht auftauchen. Sie alle stehen unter Beschuss und werden systematisch auf das Plug-in untersucht.

Doch es gibt auch eine gute Nachricht: Nutzer des “File Manager” müssen sich nicht  ihrem Schicksal ergeben oder auf die Nutzung des Dienstes verzichten. Die Entwickler haben bereits einen Patch für die Sicherheitslücke herausgegeben. Dieser muss nun nur noch installiert werden, dann laufen die Angriffe künftig ins Leere. Allerdings dürfte es auch hier wie immer laufen: Während manche schnell reagieren und ihre Software updaten, wird es bei anderen deutlich länger dauern, bis man sich mit dem Thema auseinandersetzt – und dann ist es vielleicht zu spät.

Das Thema Sicherheitsupdates für Plug-ins scheint daher auch bei den Entwicklern von Wordpress weit oben auf der Prioritätenliste zu stehen. Sie haben mit der aktuellen Version WordPress 5.5 eine automatische Update-Funktion integriert. So können Plug-ins und Themes ohne viel eigenen Aufwand aktuell gehalten werden – was kriminellen Hackern das Leben deutlich erschweren dürfte.

Bild (c) Kevin Phillips / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen