Hacker greifen WordPress über ungepatchtes Elementor Pro Plugin an

Veröffentlicht am 2. April 2023 von Günter Born

WordPress-Administratoren, die das Elementor Pro Plugin im Einsatz haben, sollten dringend prüfen, ob dieses aktuell ist und WordPress ggf. bereits kompromittiert wurde (z.B. auf urlscan.io schauen, welche Verbindungen abgehen). Am 18. März 2023 hatte NinTechNet-Sicherheitsforscher Jerome Bruandet eine Schwachstelle entdeckt, die ausgenutzt werden kann, wenn das Plugin zusammen mit WooCommerce installiert wird. Hacker nutzen nun aktiv die hochgradig gefährliche Sicherheitslücke im WordPress-Plugin Elementor Pro aus. Das Plugin zur Erstellung von WordPress-Seiten wird von über elf Millionen Websites genutzt. Details haben die Kollegen von Bleeping Computer hier zusammen gefasst (danke an den Leserhinweis).

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

5 Kommentare zu Hacker greifen WordPress über ungepatchtes Elementor Pro Plugin an

  1. Webmasta sagt:
    2. April 2023 um 10:49 Uhr

    Woher kommt die Nutzerzahl 11 Mio für die Pro Version?

    Antworten
  2. A. Nonym sagt:
    2. April 2023 um 11:38 Uhr

    Hallo,

    mit URLScan kann man vielfältige Verbindung erkennen. Als Einstieg fand ich diese Links hilfreich:

    https[:]//blog.nintechnet.com/high-severity-vulnerability-fixed-in-wordpress-elementor-pro-plugin/
    https[:]//blog.sucuri.net/2023/03/high-severity-vulnerability-in-wordpress-elementor-pro-patched.html
    https[:]//blog.sucuri.net/2023/01/massive-campaign-uses-hacked-wordpress-sites-as-platform-for-black-hat-ad-network.html
    https[:]//blog.sucuri.net/2018/10/multiple-ways-to-inject-the-same-tech-support-scam-malware.html
    https[:]//blog.sucuri.net/2019/12/unmasking-black-hat-seo-for-dating-scams.html
    https[:]//blog.sucuri.net/tag/balada-injector

    Es sind in West-Europa mehrere Hoster aus Fr, D, Ch, Uk und SK, weiter im Osten auch in MD und Ru beteiligt. Es werden sehr komplexe Java-Scripte ausgeführt. Eine für den User sichtbare Variante zeigt "Sie sind der Milliardste Besucher! Sie haben einen Preis gewonnen", die vermutlich alle verfügbaren Daten des Browsers abfragt.

    Es ist ein recht umfangreiches "Biotop" (MaaS?). Zumindest bei gehackten deutschen Seiten, die bei deutschen Providern gehostet werden, sollte man erwarten können, dass die Schadware innerhalb weniger Tage wieder entfernt wird. Aber aktuell gibt es ein Beispiel im Umfeld des ZDF's, dass diese Erwartung zu hoch ist. Ist das ein Indikator für Unfähigkeit? (Unwissenheit kann es nicht sein)

    Antworten
  3. Gero sagt:
    3. April 2023 um 13:40 Uhr

    Wofür genau wird dieses "Elementor Pro Plugin" verwendet?

    Antworten
    • Günter Born sagt:
      3. April 2023 um 14:10 Uhr

      gibt Dienstleister, die damit Webseiten in WordPress gestalten.

      Antworten
    • Webmasta sagt:
      3. April 2023 um 18:41 Uhr

      Es ist ein sog. Page Builder (ähnlich wie der WordPress Blockeditor Gutenberg, jedoch erheblich ausgereifter und viel mächtiger), die kostenlose Elementor Version wird von vielen programmiertechnisch unbedarften Website Betreibern meist mit fertigen Design Vorlagen genutzt, die Pro Version dazu noch in Verbindung mit dem weiteren Plugin WooCommerce ist nicht so weit verbreitet. Die Zahl der verwundbaren Installationen im Beitrag ist imho grob falsch.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.