WordPress: Backdoors in AccessPress Themes und Plugins

[English]WordPress-Nutzer aufgepasst, es gibt durch einen Lieferkettenangriff auf den Anbieter AccessPress wieder massive Schwachstellen in WordPress Plugins und Themes. In dutzenden Plugins und Themes dieses Anbieters haben Hacker Hintertüren eingebaut, um die Seiten zu hacken und ggf. Daten zu übernehmen. Und es gibt ein HTML-Mail Plugin mit einer Schwachstelle. Hier ein kurzer Überblick.


Anzeige

Lieferkettenangriff auf Plugins und Themes

Dieses Mal hat es AccessPress, einen Entwickler von von WordPress-Add-ons, die in über 360.000 aktiven Websites verwendet werden, getroffen. Sowohl die Kollegen von Bleeping Computer, als auch The Hacker News haben das Ganze thematisiert.

Backdoors in WordPress Themes/Plugins

Aufgedeckt wurde der Sicherheitsvorfall von Jetpack, Sucuri hat es hier angesprochen. Bei der Untersuchung einer kompromittierten Website entdeckten die Sicherheitsforscher verdächtigen Code in einem Theme von AccessPress Themes (auch bekannt als Access Keys). AccessPress ist ein Anbieter mit einer großen Anzahl beliebter Themes und Plugins.

AccessPress gehackt

Bei weiteren Analysen stellten die Sicherheitsforscher fest, dass alle Themes und die meisten Plugins des Anbieters diesen verdächtigen Code enthielten. Die infizierten Erweiterungen enthielten einen Dropper für eine Web-Shell, die den Angreifern vollen Zugriff auf die infizierten Websites ermöglicht. Das betraf aber nur Code, der von der Website des Anbieters heruntergeladen wurde. Die gleichen Erweiterungen waren in Ordnung, wenn sie direkt aus dem WordPress.org-Verzeichnis heruntergeladen oder installiert wurden.

Aufgrund der Art und Weise, wie die Erweiterungen kompromittiert wurden, vermuteten die Sicherheitsforscher, dass ein externer Angreifer in die Website von AccessPress Themes eingedrungen war, um deren Erweiterungen zur Infizierung weiterer Websites zu nutzen. Der Versuch, sich mit dem Anbieter in Verbindung zu setzen, blieb ergebnislos. Nachdem die Angelegenheit an das WordPress.org-Plugin-Team weitergeleitet wurde, bestätigte sich der Verdacht. Die Websites von AccessPress Themes wurden in der ersten Septemberhälfte 2021 angegriffen, und die Erweiterungen, die auf deren Website zum Download bereitstehen, wurden mit einer Backdoor versehen.

Betroffene müssen reagieren

Auf dieser Webseite findet sich eine Liste der mit einer Backdoor infizierten WordPress Themes und Plugins. Wer sich Themes oder Plugins direkt von AccessPress Themes oder von einem anderen Anbieter (jedoch nicht von der Seite WordPress.org) installiert hat, sollte sofort auf eine sichere Version aktualisieren (siehe Übersicht in den Tabellen dieser Webseite). Ist keine sichere Version verfügbar, ist das Theme/Plugin durch die neueste Version von WordPress.org zu ersetzen.

Bitte beachten Sie, dass dadurch die Hintertür nicht von Ihrem System entfernt wird, so dass Sie zusätzlich eine saubere Version von WordPress neu installieren müssen, um die während der Installation der Hintertür vorgenommenen Änderungen an den Kerndateien rückgängig zu machen. Wer ein kostenpflichtiges Theme oder Plugin von AccessPress Themes/Access Keys verwendet, sollte deren Support kontaktieren.

Schwachstelle in WP HTML Mail-Plugin

Das WordPress-Plugin WP HTML Mail, das auf über 20.000 Websites installiert ist, weist einen schwerwiegenden Fehler auf, der zur Einschleusung von Code und zur Verbreitung von überzeugenden Phishing-E-Mails führen kann. Die Kollegen von Bleeping Computer haben hier darüber berichtet. Auch heise hat in diesem Artikel etwas zur Schwachstelle geschrieben.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit Sicherheit, WordPress verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.