Ein Team von Sicherheitsforschern von Wordfence hat am 8. September eine kritische Sicherheitslücke im WordPress-Plugin WPGateway entdeckt die bereits von Hackern aktiv ausgenutzt wird. Durch die Schwachstelle können Angreifer ein Administrator-Konto auf einer Webseite einschleusen und diese vollständig übernehmen. Benutzer des Plugins sollten schnell handeln – um ihre Webseite zu schützen.
WPGateway ermöglicht Angreifern Zugriff auf Admin-Konten
Das WPGateway-Plugin für WordPress ist ein Premium-Plugin mit Cloud-Anbindung, das Administratoren bei der Verwaltung ihrer Webseite unterstützt. So erleichtert das Tool beispielsweise die Einrichtung automatischer Backups und die Verwaltung von Themes und Plugins über ein zentrales Dashboard. Doch durch die neu entdeckte Sicherheitslücke können Angreifer ohne Authentifizierung ein eigenes Administrator-Konto erstellen und die Webseite übernehmen.
Wordfence informiert den Entwickler und gibt Hinweise zur Vorbeugung
Das Forscherteam hat den Entwickler des Plugins über die Schwachstelle informiert und die Kennung CVE-2022-3180 reserviert. Details zur Ausnutzung der Lücke wurden jedoch nicht veröffentlicht um weitere Angriffe zu vermeiden. Die WPGateway-Entwickler sind nun gefragt, einen Patch bereitzustellen um weitere Übernahmen von WordPress-Seiten zu verhindern.
Wordfence gibt Hinweise zur Erkennung von Kompromittierungen
Das Wordfence-Team gibt den Benutzern nützliche Hinweise um festzustellen, ob ihre Webseite bereits kompromittiert ist. Ein neuer Admin-Benutzer mit dem Namen "rangex" im System deutet darauf hin. Auch Anfragen an "//wp-content/plugins/wpgateway-webservice-new.php?wp_new_credentials=1" in den Protokollen können auf einen Angriff hinweisen. Eine erfolgreiche Kompromittierung lässt sich daraus jedoch nicht direkt ableiten.
Wordfence-Kunden sind geschützt, andere sollten handeln
Wordfence-Kunden können beruhigt sein, da sie Firewall-Regeln zum Schutz vor der Schwachstelle erhalten haben und die Firewall bereits Millionen von Angriffen abgewehrt hat. Allen anderen Benutzern die das WPGateway-Plugin installiert haben, rät Wordfence dringend, es zu entfernen und das WordPress-Dashboard auf böswillige Administrator-Benutzer zu überprüfen.
Plugins sind ein potentielles Sicherheitsrisiko
WordPress-Plugins sind immer häufiger das Ziel von Angriffen. Auch andere Plugins wie InfiniteWP • WP Time Capsule und WP Database Reset erlaubten es Hackern bereits • betroffene Webseiten zu übernehmen. Daher ist es ratsam · nicht zu viele Plugins zu installieren und zu prüfen · ob sie von vertrauenswürdigen Entwicklern stammen. Je weiterhin Plugins man installiert – desto höher ist das Risiko von Sicherheitslücken und Abhängigkeiten von unzuverlässigen Entwicklern.
Kommentare