Eine Welle von WordPress-Plugin-Angriffen breitet sich im Internet aus und zielt auf Websites, die veraltete oder nicht gepatchte Erweiterungen verwenden. Cyberkriminelle nutzen bekannte Schwachstellen aus, um die Kontrolle über WordPress-Seiten zu übernehmen und bösartige Plugins zu installieren. Die Kampagne hat bereits Tausende von Websites betroffen und zeigt, wie schnell fehlende Updates zu ernsthaften Sicherheitsrisiken führen können.
Umfassende Ausnutzungskampagne
Das Sicherheitsunternehmen Wordfence meldete innerhalb von nur zwei Tagen mehr als acht Millionen blockierte Angriffsversuche. Die groß angelegte Kampagne nutzt kritische Schwachstellen in den Plugins GutenKit und Hunk Companion aus, wodurch Angreifer in der Lage sind, beliebige Plugins zu installieren und zu aktivieren. Beide Sicherheitslücken ermöglichen Remote-Code-Ausführung ohne Authentifizierung und sind daher besonders gefährlich für ungepatchte Websites.
Schwachstellen hinter den Angriffen
Forscher identifizierten drei wichtige Sicherheitslücken, die diese Angriffe vorantreiben:
CVE-2024-9234 – betrifft GutenKit 2.1.0 und frühere Versionen und ermöglicht unautorisierte Plugin-Installationen über freigelegte REST-Endpunkte.
CVE-2024-9707 – betrifft Hunk Companion 1.8.4 und frühere Versionen und erlaubt es Angreifern, Autorisierungsprüfungen zu umgehen.
CVE-2024-11972 – betrifft Hunk Companion 1.8.5 und frühere Versionen und ermöglicht erneut das Hochladen und Aktivieren von Plugins ohne Zustimmung des Benutzers.
Die Entwickler veröffentlichten Patches für GutenKit 2.1.1 und Hunk Companion 1.9.0, aber viele Administratoren haben diese noch nicht installiert.
Angriffsmethoden und Anzeichen einer Kompromittierung
Die Angreifer verbreiten bösartige Plugin-Pakete, die sich als legitime Tools wie SEO- oder Performance-Optimierer tarnen. Nach der Installation lädt die Schadsoftware Dateien hoch, führt Befehle aus und erstellt persistente Hintertüren.
Administratoren sollten auf verdächtige API-Anfragen achten, wie etwa:
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
Sie sollten außerdem Verzeichnisse wie /wp-query-console, /up und /oke auf unbekannte Dateien oder Skripte überprüfen. Eine frühzeitige Erkennung kann eine weitere Ausnutzung verhindern.
So schützen Sie WordPress-Websites
Website-Betreiber können das Risiko von WordPress-Plugin-Angriffen reduzieren, indem sie einige grundlegende Schritte befolgen:
- Aktualisieren Sie GutenKit und Hunk Companion auf die neuesten sicheren Versionen.
- Entfernen Sie ungenutzte oder verdächtige Plugins und Themes.
- Überwachen Sie regelmäßig Serverprotokolle auf ungewöhnliche API-Aufrufe oder unautorisierte Datei-Uploads.
- Verwenden Sie eine zuverlässige Web Application Firewall, um bösartige Anfragen zu blockieren.
- Halten Sie den WordPress-Core und die PHP-Version auf dem neuesten Stand.
Regelmäßige Wartung und Überwachung sind entscheidend, um großflächige Infektionen zu vermeiden.
Fazit
Die neuesten WordPress-Plugin-Angriffe zeigen, wie schnell veraltete Erweiterungen zu Einstiegspunkten für Hacker werden können. Durch das Einspielen von Sicherheitsupdates, die Überwachung verdächtiger Aktivitäten und konsequente Sicherheitsmaßnahmen können Administratoren schwerwiegende Kompromittierungen verhindern. Regelmäßige Updates bleiben die effektivste Verteidigung gegen groß angelegte Angriffskampagnen, die auf WordPress-Websites abzielen.
0 Antworten zu „WordPress-Plugin-Angriffe nutzen veraltete Erweiterungen aus“