Cyberkriminelle greifen 1,6 Millionen Wordpress-Seiten an

Sicherheitsforschende des Softwareentwicklers Defiant decken eine Angriffsserie auf Wordpress-Webseiten auf. Die Cyberkriminellen scannten nahezu 1,6 Millionen von Wordfence geschützten Webseiten nach Kaswara Modern WPBakery Page Builder Addons, wie der Wordfence-Hersteller mitteilt. Eine Schwachstelle im Page Builder Plugin erlaube es Angreifern ohne Authentifizierung Dateien hochzuladen.

Die Angriffe sollen am 4. Juli 2022 begonnen haben und dauern bis heute an. Gemäss den Auswertungen der Sicherheitsforschenden versuchen die meisten Angreifer zuerst eine Datei mit dem Namen "a57bze8931.zip" einzuschleusen. Sobald diese Datei erfolgreich auf eine Webseite hochgeladen wurde, wird im Verzeichnis /wp-content/uploads/kaswara/icons/ eine einzelne Datei mit dem namen "a57bze8931.php" entpackt.

Nach einem erfolgreichen Angriff können die Kriminellen bösartige Javascript-Programme in die Webseite einschleusen, wie die Forschenden weiter schreiben. So könnte im schlimmsten Fall die gesamte Webseite übernommen werden.

Die Sicherheitslücke im WPBakery Page Builder Plugin ist schon länger bekannt und erhielt im November 2021 die CVE-Nummer CVE-2021-24284. Von der Sicherheitslücke sind alle Versionen des Plugins betroffen, wie die Sicherheitsforschenden schreiben. Der Autor gab demnach die Entwicklung des WPBakery Page Builder auf, bevor die Sicherheitslücke entdeckt wurde.

Personen, die das Plugin auf ihrer Webseite nutzen, wird geraten dieses zu löschen. Ein Patch des Plugins ist gemäss den Forschenden nicht in Sicht, da der Autor des Plugins nicht auf Anfragen reagiert.

Übrigens: Die neue Ransomware Lilith fordert bereits erste Opfer, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.