Ein kritischer Sicherheitsfehler im WP Automatic Plugin für WordPress hat eine Welle von Hackerangriffen ausgelöst, bei denen Angreifer Nutzerkonten mit administrativen Rechten erstellen und Hintertüren für langfristigen Zugriff einrichten.

Das Plugin, das derzeit auf über 30.000 Websites installiert ist, ermöglicht es Administratoren, Inhalte (wie Texte, Bilder und Videos) automatisch von verschiedenen Online-Quellen zu importieren und auf ihrer WordPress-Site zu veröffentlichen.

Die ausgenutzte Schwachstelle, identifiziert als CVE-2024-27956, wurde mit einer Schwere von 9,9/10 bewertet und am 13. März von Forschern des PatchStack Vulnerability Mitigation Service öffentlich gemacht. Sie beschreibt ein SQL-Injection-Problem, das Versionen von WP Automatic vor 3.9.2.0 betrifft.

Das Problem liegt im Authentifizierungsmechanismus des Plugins, der umgangen werden kann, um SQL-Anfragen an die Datenbank der Website zu senden. Hacker können speziell gestaltete Anfragen verwenden, um Administrator-Konten auf der Ziel-Website zu erstellen.

Über 5,5 Millionen Angriffsversuche Seit der Offenlegung des Sicherheitsproblems wurden laut WPScan, einer von Automattic betriebenen Sicherheitsplattform, mehr als 5,5 Millionen Angriffsversuche registriert, die meisten davon am 31. März.

WPScan berichtet, dass Angreifer nach Erlangung des Admin-Zugangs zu der Ziel-Website Hintertüren einrichten und den Code verschleiern, um dessen Auffindbarkeit zu erschweren.

„Sobald eine WordPress-Site kompromittiert wurde, sorgen die Angreifer durch das Einrichten von Hintertüren und das Verschleiern des Codes für die Langlebigkeit ihres Zugangs“, heißt es im Bericht von WPScan.

Um andere Hacker davon abzuhalten, die Website durch Ausnutzung desselben Problems zu kompromittieren und um Entdeckung zu vermeiden, benennen die Hacker die anfällige Datei „csv.php“ um.

Nach der Übernahme der Website installieren die Bedrohungsakteure oft zusätzliche Plugins, die das Hochladen von Dateien und das Bearbeiten von Code ermöglichen.

WPScan bietet eine Reihe von Indikatoren für einen Kompromiss, die Administratoren helfen können festzustellen, ob ihre Website gehackt wurde.

Administratoren können nach Hinweisen suchen, die darauf hindeuten, dass Hacker die Kontrolle über die Website erlangt haben, indem sie nach dem Vorhandensein eines Admin-Kontos beginnend mit „xtw“ und Dateien namens web.php und index.php suchen, welche die in der jüngsten Kampagne platzierten Hintertüren sind.

Um das Risiko eines Einbruchs zu mindern, empfehlen Forscher WordPress-Site-Administratoren, das WP Automatic Plugin auf Version 3.92.1 oder höher zu aktualisieren.

WPScan rät Website-Betreibern außerdem, regelmäßig Backups ihrer Site zu erstellen, damit sie im Falle eines Kompromisses schnell saubere Kopien installieren können.