Eine schwerwiegende Sicherheitslücke im LiteSpeed Cache-Plugin für WordPress wird derzeit von Hackern ausgenutzt, um gefälschte Administratoren-Accounts auf betroffenen Websites zu erstellen.

Laut den Ergebnissen von WPScan, einer Sicherheitsfirma, wird die Schwachstelle CVE-2023-40000 (CVSS-Score: 8.3) genutzt, um betrügerische Admin-Benutzer mit Namen wie wpsupp-user und wp-configuser anzulegen. Diese Schwachstelle wurde im Februar 2024 von Patchstack offengelegt und ermöglicht durch eine Stored Cross-Site Scripting (XSS)-Attacke einem nicht authentifizierten Angreifer, seine Berechtigungen über spezielle HTTP-Anfragen zu erhöhen.

Die Schwachstelle wurde im Oktober 2023 in Version 5.7.0.1 behoben. Die neueste Version des Plugins ist 6.2.0.1, die am 25. April 2024 veröffentlicht wurde.

Mit über 5 Millionen aktiven Installationen sind Versionen vor 5.7, 6.0, 6.1 und 6.2 immer noch auf 16,8 % aller Websites aktiv. Der Automattic-eigenen Firma zufolge wird Malware normalerweise in WordPress-Dateien über JavaScript-Code injiziert, der auf Domains wie dns.startservicefounds[.]com und api.startservicefounds[.]com gehostet wird.

Die Erstellung von Admin-Accounts auf WordPress-Seiten kann schwerwiegende Folgen haben. Dadurch erhalten die Angreifer volle Kontrolle über die Website und können beliebige Aktionen durchführen, von der Injektion von Malware bis hin zur Installation bösartiger Plugins.

Um potenzielle Bedrohungen zu mindern, sollten Nutzer dringend die neuesten Updates installieren, alle installierten Plugins überprüfen und verdächtige Dateien und Ordner löschen. WPScan empfiehlt, in der Datenbank nach verdächtigen Zeichenketten wie „eval(atob(Strings.fromCharCode,'“ speziell in der Option litespeed.admin_display.messages zu suchen.

Inzwischen hat Sucuri eine betrügerische Redirect-Kampagne namens Mal.Metrica auf infizierten WordPress-Seiten enthüllt. Sie nutzt gefälschte CAPTCHA-Verifizierungsprompts, um Nutzer auf betrügerische Websites umzuleiten, die dazu dienen, zweifelhafte Software zu installieren oder Opfer dazu zu verleiten, persönliche Informationen preiszugeben.

Laut Sicherheitsforscher Ben Martin sieht diese Aufforderung wie eine gewöhnliche Überprüfung aus, ist jedoch gefälscht und soll Benutzer zum Klick auf einen Button bewegen, der dann eine Weiterleitung zu schädlichen Websites auslöst.

Wie bei Balada Injector werden kürzlich entdeckte Sicherheitslücken in WordPress-Plugins ausgenutzt, um externe Skripte zu injizieren, die als CDN- oder Web-Analytics-Dienste getarnt sind. Im Jahr 2024 wurden bereits 17.449 Websites mit Mal.Metrica kompromittiert.

„WordPress-Website-Besitzer sollten erwägen, automatische Updates für Core-Dateien, Plugins und Themes zu aktivieren“, rät Martin. „Auch Webnutzer sollten vorsichtig sein, auf Links zu klicken, die verdächtig oder unpassend erscheinen.“