Ein Bedrohungsakteur hat den Quellcode von mindestens fünf Plugins auf WordPress.org verändert und bösartige PHP-Skripte hinzugefügt, die neue Konten mit Administratorrechten auf den betroffenen Websites erstellen.

Entdeckung und Reaktion

Das Wordfence Threat Intelligence-Team entdeckte den Angriff gestern, aber die bösartigen Injektionen scheinen gegen Ende letzter Woche, zwischen dem 21. und 22. Juni, erfolgt zu sein. Sobald Wordfence den Einbruch feststellte, benachrichtigte das Unternehmen die Plugin-Entwickler, was dazu führte, dass gestern für die meisten Produkte Patches veröffentlicht wurden.

Betroffene Plugins

Zusammen wurden die fünf betroffenen Plugins auf mehr als 35.000 Websites installiert:

  • Social Warfare 4.4.6.4 bis 4.4.7.1 (behoben in Version 4.4.7.3)
  • Blaze Widget 2.2.5 bis 2.5.2 (behoben in Version 2.5.4)
  • Wrapper Link Element 1.0.2 bis 1.0.3 (behoben in Version 1.0.5)
  • Contact Form 7 Multi-Step Addon 1.0.4 bis 1.0.5 (behoben in Version 1.0.7)
  • Simply Show Hooks 1.2.1 bis 1.2.2 (noch kein Fix verfügbar)

Wordfence weist darauf hin, dass sie nicht wissen, wie der Angreifer Zugriff auf den Quellcode der Plugins erlangte, aber eine Untersuchung läuft. Obwohl es möglich ist, dass der Angriff eine größere Anzahl von WordPress-Plugins betrifft, deuten die aktuellen Beweise darauf hin, dass der Kompromiss auf die genannten fünf Plugins beschränkt ist.

Hintertür-Operation und Indikatoren für eine Kompromittierung (IoCs)

Der bösartige Code in den infizierten Plugins versucht, neue Admin-Konten zu erstellen und SEO-Spam in die kompromittierte Website zu injizieren.

„In diesem Stadium wissen wir, dass die injizierte Malware versucht, ein neues Administratorkonto zu erstellen und diese Details dann an den vom Angreifer kontrollierten Server zu senden“, erklärt Wordfence. „Darüber hinaus scheint der Bedrohungsakteur auch bösartiges JavaScript in die Fußzeile der Websites injiziert zu haben, was SEO-Spam auf der gesamten Website hinzufügt.“

Die Daten werden an die IP-Adresse 94.156.79[.]8 gesendet, während die willkürlich erstellten Admin-Konten „Options“ und „PluginAuth“ genannt werden.

Maßnahmen für Website-Betreiber

Website-Betreiber, die solche Konten oder Datenverkehr zur IP-Adresse des Angreifers bemerken, sollten einen vollständigen Malware-Scan und eine Bereinigung durchführen.

„Wenn Sie eines dieser Plugins installiert haben, sollten Sie Ihre Installation als kompromittiert betrachten und sofort in den Incident-Response-Modus wechseln“, rät Wordfence. Wordfence weist darauf hin, dass einige der betroffenen Plugins vorübergehend von WordPress.org entfernt wurden, was dazu führen kann, dass Benutzer Warnungen erhalten, selbst wenn sie eine gepatchte Version verwenden.

Weitere Informationen und detaillierte Anweisungen zur Bereinigung finden Sie auf der Wordfence-Website. Bleiben Sie wachsam und stellen Sie sicher, dass Ihre WordPress-Installationen sicher sind, um zukünftige Ausnutzungen zu verhindern.

4o