Wordfence Forscher haben eine kritische Sicherheitslücke im Wordpress-Plugin WPGateway entdeckt, die bereits aktiv ausgenutzt wird.
Ein Forscherteam von Wordfence hat eine neue Sicherheitslücke im WordPress-Plugin WPGateway entdeckt, durch die ein Angreifer ein Administratorkonto einschleusen und die Webseite vollständig übernehmen kann. Benutzer des Plugins sollten schnellstmöglich handeln.
WPGateway lässt Angreifer Admin-Konten einschleusen
Laut einem Blogbeitrag hat das Wordfence Threat Intelligence-Team am 8. September eine aktiv von Hackern ausgenutzte Schwachstelle im WPGateway-Plugin für WordPress entdeckt. Angreifer können durch diese Sicherheitslücke einer Webseite einen Admin-User hinzufügen und diesen für böswillige Zwecke missbrauchen.
Bei WPGateway handelt es sich um ein Premium-Wordpress-Plugin mit Cloud-Anbindung. Es erleichtert Administratoren Aufgaben wie beispielsweise die Einrichtung automatischer Backups. Und auch die Verwaltung von Themes und Plugins über ein zentrales Dashboard wird durch das Tool vereinfacht. Doch leider können Angreifer über die neu entdeckte Schwachstelle in dem Plugin ohne jegliche Authentifizierung ein eigenes Administrator-Konto einschleusen und die Webseite dadurch vollständig übernehmen.
Die Forscher von Wordfence haben den Entwickler des Plugins bereits über die gefundene Sicherheitslücke informiert und die Kennung CVE-2022-3180 reserviert. Details zur Ausnutzung der Lücke möchte das Unternehmen jedoch vorerst nicht veröffentlichen. Denn obwohl sie bereits aktiv ausgenutzt wird, besteht die Gefahr, dass sich dadurch noch mehr Angreifer auf ungeschützte Webseiten stürzen. Zuvor sind die WPGateway-Entwickler am Zug, einen Patch bereitzustellen und dadurch die Übernahme weiterer WordPress-Seiten zu verhindern.
WPGateway-Nutzer sollten User und Protokolle im Auge behalten
Das Team von Wordfence teilt auch ein paar nützliche Hinweise, um festzustellen, ob die eigene Webseite bereits kompromittiert ist. Dies ist sehr wahrscheinlich dann der Fall, wenn im System ein neuer Admin-Benutzer mit dem Namen „rangex“ vertreten ist.
Weiterhin können Anfragen an „//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1“ in den Protokollen darauf hinweisen, dass ein Angreifer bereits versucht hat, die Seite zu übernehmen. Eine erfolgreiche Kompromittierung lässt sich daraus jedoch nicht direkt ableiten.
Wordfence-Kunden sind in Sicherheit – alle anderen sollten handeln
Für die eigenen Kunden findet Wordfence beruhigende Worte: „Wordfence-Premium-, Wordfence-Care- und Wordfence-Response-Kunden haben am 8. September 2022 eine Firewall-Regel zum Schutz vor dieser Schwachstelle erhalten„, heißt es in dem Blogbeitrag. Das Unternehmen teilt außerdem mit, die eigene Firewall habe bereits „über 4,6 Millionen Angriffe auf diese Schwachstelle auf mehr als 280.000 Websites erfolgreich abgewehrt.„
Allen anderen, die das WPGateway-Plugin installiert haben, rät das Team „dringend, es sofort zu entfernen, bis ein Patch zur Verfügung steht, und Ihr WordPress-Dashboard auf böswillige Administrator-Benutzer zu überprüfen.„
WordPress-Plugins werden immer häufiger zur Zielscheibe von Angreifern. Auch die Plugins InfiniteWP, WP Time Capsule und WP Database Reset öffneten Hackern bereits die Tür und erlaubten die Übernahme betroffener Webseiten. Im Zweifel gilt also: Besser ein Plugin zu wenig als ein Plugin zu viel. Denn je mehr Plugins ich einsetze, desto mehr potenzielle Sicherheitslücken hole ich mir ins System. Und desto mehr Entwickler sind es, von deren sauberer und gewissenhafter Arbeit ich abhängig bin.