Plugins auf WordPress.org mit einem Supply-Chain-Angriff backdoored!
Ein Bedrohungsakteur hat den Quellcode von mindestens fünf auf WordPress.org gehosteten Plugins so geändert, dass er bösartige PHP-Skripte enthält, die neue Konten mit Administratorrechten auf Websites erstellen, auf denen sie ausgeführt werden.
Der Angriff wurde gestern vom Wordfence Threat Intelligence-Team entdeckt, die bösartigen Injektionen scheinen jedoch gegen Ende letzter Woche, zwischen dem 21. und 22. Juni, erfolgt zu sein.
Sobald Wordfence den Verstoß entdeckte, benachrichtigte das Unternehmen die Plugin-Entwickler, was dazu führte, dass veröffentlicht wurden . gestern Patches für die meisten Produkte
Zusammen wurden die fünf Plugins auf 35.000 - 45.000 Websites installiert:
-
Social Warfare 4.4.6.4 bis 4.4.7.1 (behoben in Version 4.4.7.3)
-
Blaze Widget 2.2.5 bis 2.5.2 (behoben in Version 2.5.4)
-
Wrapper-Link-Element 1.0.2 bis 1.0.3 (behoben in Version 1.0.5)
-
Contact Form 7 Multi-Step Addon 1.0.4 bis 1.0.5 (behoben in Version 1.0.7)
-
Simply Show Hooks 1.2.1 bis 1.2.2 (noch kein Fix verfügbar)
Wordfence weist darauf hin, dass sie nicht wissen, wie es dem Bedrohungsakteur gelungen ist, Zugriff auf den Quellcode der Plugins zu erhalten, es wird jedoch eine Untersuchung durchgeführt.
Obwohl es möglich ist, dass der Angriff eine größere Anzahl von WordPress-Plugins betrifft, deuten aktuelle Erkenntnisse darauf hin, dass die Kompromittierung auf die oben genannten fünf Plugins beschränkt ist.
Der Schadcode in den infizierten Plugins versucht, neue Administratorkonten zu erstellen und SEO-Spam in die kompromittierte Website einzuschleusen.
„Zu diesem Zeitpunkt wissen wir, dass die injizierte Malware versucht, ein neues administratives Benutzerkonto zu erstellen und diese Details dann an den vom Angreifer kontrollierten Server zurückzusenden“, erklärt Wordfence.
„Darüber hinaus hat der Bedrohungsakteur offenbar auch bösartiges JavaScript in die Fußzeile von Websites eingeschleust, was scheinbar SEO-Spam auf der gesamten Website einfügt.“
Die Daten werden an die IP-Adresse 94.156.79[.]8 übermittelt, während die willkürlich erstellten Admin-Konten „Options“ und „PluginAuth“ heißen, sagen die Forscher.
Websitebesitzer, die solche Konten oder Datenverkehr zur IP-Adresse des Angreifers bemerken, sollten einen vollständigen Malware-Scan und eine vollständige Bereinigung durchführen.
Kommentar von Wordfence:
„Wenn Sie eines dieser Plugins installiert haben, sollten Sie Ihre Installation als kompromittiert betrachten und sofort in den Incident-Response-Modus wechseln.“ – Wordfence.
Wordfence weist weiter darauf hin, dass einige der betroffenen Plugins vorübergehend von WordPress.org entfernt wurden, was dazu führen kann, dass Benutzer Warnungen erhalten, selbst wenn sie eine gepatchte Version verwenden.
CVE-2024-6297 PUBLISHED Several WordPress.org Plugins <= Various Versions - Injected Backdoor
