Hacker verwenden aktiv anfällige WordPress-Plugins, um Websites anzugreifen

Immer mehr Hacker nutzen die neuesten Sicherheitslücken, die kürzlich in WordPress-Plugins gefunden wurden, angreifen. Cyberkriminelle zielen auf Websitebesitzer ab, die ihre Plugins nicht aktualisieren und immer noch alte Versionen anfälliger Versionen verwenden.

Mehrere Gruppen von Hackern tun es. Derzeit kennen Sicherheitsexperten mindestens zwei Gruppen, die ungepatchte Versionen der Plugins Profile Builder, ThemeGrill Demo Importer und Duplicator angreifen.

Dies sind sehr beliebte Plugins, die auf zahlreichen Websites installiert sind. Es wird geschätzt, dass es mehrere hunderttausend Websites gibt, die Gefahr laufen, ausgenutzt zu werden, weil ihre Besitzer diese drei Plugins nicht aktualisiert haben.

Alle oben genannten Plugins haben eines gemeinsam. Sicherheitsforscher haben kürzlich Berichte über kritische Sicherheitsfehler veröffentlicht, die in diesen Plugins gefunden wurden und zu einer Kompromittierung der Website führen könnten.

Einer der Gegner, den Sicherheitsexperten Tonyredball nennen, erhält Zugriff auf WP-Websites, die eine anfällige Version von haben:

ThemeGrill Demo Importer (unter Version 1.6.3) Der Fehler ermöglicht es jedem Benutzer, sich wie ein Administrator anzumelden und die gesamte Datenbank zu löschen.

Profile Builder (unter Version 3.1.1) Der Fehler ermöglicht es nicht authentifizierten Benutzern, auch Administratorrechte zu erhalten.

Tonyredball-Gruppe
Sicherheitsexperten von Defiant weisen darauf hin, dass die Tonyredball-Gruppe den Admin-Registrierungsfehler im Profile Builder-Plugin ausnutzt, indem sie Webanfragen verwendet, die die E-Mail-Adresse und den Benutzernamen des neuen Admin-Kontos enthalten.

Gleichzeitig glauben Experten, dass diese Hackergruppe an vielen anderen Angriffen beteiligt ist, die den Datenbanklöschungsfehler ausnutzen, der im ThemeGrill Demo Importer-Plugin gefunden wurde.

Der Grund für die Massennutzung von ThemeGrill Demo Importer ist wahrscheinlich die einfache Handhabung. Angreifer müssen lediglich eine Anfrage an eine anfällige Website senden, die über WordPress-Plugins angegriffen wird. Und im Fall von Profile Builder müssten Angreifer ernsthaftere Anstrengungen unternehmen, da sie das anfällige Formular zuerst finden sollten.

Das Endergebnis der Ausnutzung beider Schwachstellen besteht darin, Administratorrechte und die Möglichkeit zu erhalten, auf die Website des Opfers zuzugreifen. Sobald der Zugriff erfolgt ist, laden Hacker mit Hilfe der Theme- und Plugin-Uploader ihre schädlichen Skripte in das WordPress-Dashboard hoch.

Die Bedrohungsakteure verwenden mehrere Arten von Skripten, die mit Dateinamen wie wp-block-plugin.php, blockspluginn.php, supersociall.php und wp-block-plugin.php verknüpft sind.

Nach der anfänglichen Ausnutzung liefern Angreifer zusätzliche Payloads, die dazu bestimmt sind, mehr Dateien zu infizieren und eine breitere Präsenz auf der Website zu erreichen. Darüber hinaus beobachteten die Forscher, dass Malware-Autoren anfangen, nach anderen WP-Sites zu suchen, die für die gleiche Ausnutzungsmethode anfällig sind.

In vielen Fällen schleusen Angreifer böswilligen Code in legitime JavaScript-Dateien ein. Das Ziel dieses Schritts ist es, ein weiteres Skript von einem anderen Server zu laden, das Besucher auf bösartige Websites umleitet, die von den Cyberkriminellen kontrolliert werden.

Im Moment ist diese Umleitung leicht zu erkennen und nicht ausgeklügelt, aber die Übeltäter können ihr Skript ändern, um viel hinterlistiger zu sein.

In einem Fall wurden Besucher auf eine Website namens Talktofranky umgeleitet, die dazu aufforderte, im Browser-Benachrichtigungs-Popup auf Zulassen zu klicken, um zu beweisen, dass es sich um echte Personen und nicht um Bots handelt. Wenn Besucher dies taten, erlaubten sie der Website, verschiedene Benachrichtigungen, einschließlich Spam, zu senden.

Dies mag wie eine geringfügige Bedrohung aussehen, aber Besitzer von Mac-Geräten, die nicht leicht zu hacken sind, werden oft Opfer solcher Tricks. Beispielsweise wurden Benutzer auf betrügerische Websites wie A.akamaihd.net umgeleitet.

Sicherheitsforscher fanden eine Diskussion in einem der Online-Foren, die sich dieser Situation widmeten, was darauf hindeutet, dass es ziemlich viele Opfer gibt.

Interessanterweise stammen alle Angriffe der Tonyredball-Gruppe von einer einzigen IP -45.129.96.17. Es befindet sich in Estland und ist dem lokalen Hosting-Provider namens GMHost zugeordnet. Dieser Anbieter ist bekannt für seine schlechten Richtlinien, die viele Cyberkriminelle dazu verleiten, dort zu hosten. Dieser Anbieter reagiert einfach nicht auf Beschwerden.

Es ist nicht ganz klar, wie viele WordPress-Websites wegen anfälliger Plugins getroffen werden können. Forscher schätzen, dass das Profile Builder-Plugin auf etwa 37.000 Websites und der ThemeGrill Demo Importer auf etwa 40.000 Websites installiert werden kann.

Gruppe Solarsalvador1234
Eine weitere Gruppe, die raffinierter zu sein scheint, heißt Solarsalvador1234. Forscher von Defiant haben ihn so benannt, weil es der Name einer E-Mail-Adresse ist, die häufig in Webanfragen verwendet wird, die zu einer Ausbeutung führten.

Dieser Bedrohungsakteur zielt auch auf die beiden oben genannten Plugins ab, aber zusätzlich zu ihnen hat die Solarsalvador1234-Gruppe das Duplicator-Plugin auf ihrer Liste. Dieses WordPress-Plugin hilft beim Klonen und Migrieren einer Website von einem Ort zum anderen. Es hat mehr als eine Million aktive Installationen!

Es wird berichtet, dass Versionen von Duplicator, die niedriger als 1.3.28 sind, eine Sicherheitslücke aufweisen, die es nicht authentifizierten Besuchern ermöglicht, verschiedene Dateien von Zielwebsites herunterzuladen.

Dieser Fehler wird häufig verwendet, um die Konfigurationsdatei der betroffenen Website abzurufen – wp-config.php, die Benutzeranmeldeinformationen für den Zugriff auf die Datenbank speichert. Das Hauptziel ist es, erweiterte und langfristige Zugangsmöglichkeiten auf die kompromittierte Website zu erhalten.

Durch das Ausnutzen dieser drei Sicherheitslücken erhalten Angreifer letztendlich vollen administrativen Zugriff auf die Websites der Opfer. Es ist wichtig, daran zu erinnern, dass diese Schwachstellen bereits öffentlich bekannt gegeben und gepatcht wurden.

Im Fall des Hacks sollten sich Website-Betreiber selbst die Schuld dafür geben, dass sie die Best Practices für die Sicherheit nicht befolgt und die WordPress-Angriffs-Plugins nicht rechtzeitig aktualisiert haben. Basierend auf aktuellen Statistiken gehen Sicherheitsforscher davon aus, dass etwa 800.000 Websites immer noch eine ungepatchte Version von Duplicator ausführen.

Es gibt viele Gründe zu der Annahme, dass die oben genannten drei anfälligen Plugins nicht die einzigen sind, die ausgenutzt werden.

Auch hier sollten Websitebesitzer daran denken, dass es nach der Veröffentlichung eines Sicherheitsupdates ihre Priorität sein sollte, es zu installieren, da immer mehr Hacker WordPress-Websites angreifen und schnell alle neuen und alten Sicherheitslücken finden und ausnutzen.