{"id":18815,"date":"2020-09-03T12:50:28","date_gmt":"2020-09-03T09:50:28","guid":{"rendered":"http:\/\/content.freeplanetvpn.com\/?p=18815"},"modified":"2022-03-29T13:00:22","modified_gmt":"2022-03-29T10:00:22","slug":"hacker-nutzen-eine-kritische-schwachstelle-aus-die-350-000-wordpress-sites-betrifft","status":"publish","type":"post","link":"https:\/\/freevpnplanet.com\/de\/blog\/hacker-nutzen-eine-kritische-schwachstelle-aus-die-350-000-wordpress-sites-betrifft\/","title":{"rendered":"Hacker nutzen kritische Schwachstellen in WordPress-Sites"},"content":{"rendered":"

\"\"<\/p>\n

Der Nachteil ist der File Manager, ein Plugin mit mehr als 700.000 Benutzern, 52% von ihnen leiden darunter.<\/p>\n

Hacker nutzen aktiv eine Schwachstelle aus, die es ihnen erlaubt, Befehle und b\u00f6sartige Skripte auf Websites auszuf\u00fchren, auf denen File Manager<\/a> l\u00e4uft, ein WordPress-Plugin mit mehr als 700.000 aktiven Installationen, sagten Forscher am Dienstag. Die Nachricht von den Angriffen kam einige Stunden nachdem die Sicherheitsl\u00fccke gepatcht wurde.<\/p>\n

Die Angreifer nutzen den Exploit, um Dateien hochzuladen, die Webshells enthalten, die in einem Bild versteckt sind. Von dort aus verf\u00fcgen sie \u00fcber eine bequeme Schnittstelle, die es ihnen erlaubt, Befehle in plugins\/wp-file-manager\/lib\/files\/ auszuf\u00fchren, dem Verzeichnis, in dem sich das Dateimanager-Plugin befindet. W\u00e4hrend diese Beschr\u00e4nkung Hacker daran hindert, Befehle auf Dateien au\u00dferhalb des Verzeichnisses auszuf\u00fchren, k\u00f6nnen Hacker m\u00f6glicherweise mehr Schaden anrichten, indem sie Skripte hochladen, die Aktionen auf anderen Teilen einer anf\u00e4lligen Site ausf\u00fchren k\u00f6nnen.<\/p>\n

NinTechNet, eine Website-Sicherheitsfirma in Bangkok, Thailand, geh\u00f6rte zu den ersten, die \u00fcber die “in-the-wild”-Angriffe berichteten<\/a>. In dem Beitrag hie\u00df es, dass ein Hacker die Schwachstelle ausnutzte, um ein Skript mit dem Titel hardfork.php hochzuladen und es dann dazu benutzte, Code in die WordPress-Skripte \/wp-admin\/admin-ajax.php und \/wp-includes\/user.php einzuf\u00fcgen.<\/p>\n

Backdooring anf\u00e4lliger Sites in gro\u00dfem Ma\u00dfstab<\/h2>\n

In einer E-Mail schrieb Jerome Bruandet, CEO von NinTechNet:<\/p>\n

Es ist noch etwas zu fr\u00fch, um die Auswirkungen zu kennen, denn als wir den Angriff abfingen, versuchten Hacker nur, Websites zu hintert\u00fcrmen. Eine interessante Sache, die uns jedoch auffiel, ist, dass Angreifer einen Code einf\u00fchrten, um den Zugriff auf die anf\u00e4llige Datei connector.minimal.php<\/code> mit einem Passwort zu sch\u00fctzen, so dass andere Hackergruppen die Sicherheitsl\u00fccke auf den bereits infizierten Websites nicht ausnutzen konnten.<\/p>\n

Alle Befehle k\u00f6nnen im Ordner \/lib\/files ausgef\u00fchrt werden (Ordner erstellen, Dateien l\u00f6schen usw.), aber das Wichtigste ist, dass sie auch PHP-Skripte in diesen Ordner hochladen k\u00f6nnen, um sie dann auszuf\u00fchren und mit dem Blog zu tun, was immer sie wollen.<\/p>\n

Bis jetzt laden sie “FilesMan” hoch, einen weiteren Dateimanager, der oft von Hackern benutzt wird. Dieser ist stark verschleiert. In den n\u00e4chsten Stunden und Tagen werden wir genau sehen, was sie tun werden, denn wenn sie die anf\u00e4llige Datei mit einem Passwort gesch\u00fctzt haben, um andere Hacker daran zu hindern, die Schwachstelle auszunutzen, ist es wahrscheinlich, dass sie erwarten, die infizierten Websites erneut zu besuchen.<\/p><\/blockquote>\n

Die befreundete Website-Sicherheitsfirma Wordfence sagte unterdessen in einem eigenen Posting<\/a>, dass sie in den vergangenen Tagen mehr als 450.000 Exploit-Versuche blockiert habe. In dem Beitrag hie\u00df es, dass die Angreifer versuchen, verschiedene Dateien zu injizieren. In einigen F\u00e4llen seien diese Dateien leer gewesen, h\u00f6chstwahrscheinlich in dem Versuch, nach anf\u00e4lligen Sites zu suchen und, wenn sie erfolgreich waren, sp\u00e4ter eine b\u00f6sartige Datei zu injizieren. Die hochgeladenen Dateien trugen Namen wie hardfork.php, hardfind.php und x.php.<\/p>\n

“Ein Dateimanager-Plugin wie dieses w\u00fcrde es einem Angreifer erm\u00f6glichen, beliebige Dateien seiner Wahl direkt vom WordPress-Dashboard aus zu manipulieren oder hochzuladen, was es ihm m\u00f6glicherweise erlauben w\u00fcrde, seine Privilegien zu erweitern, sobald er einmal im Admin-Bereich der Website ist”, schrieb Chloe Chamberland, eine Forscherin der Sicherheitsfirma Wordfence, in ihrem Beitrag vom Dienstag. “Zum Beispiel k\u00f6nnte sich ein Angreifer mit einem kompromittierten Passwort Zugang zum Admin-Bereich der Website verschaffen, dann auf dieses Plugin zugreifen und eine Web-Shell hochladen, um eine weitere Aufz\u00e4hlung des Servers vorzunehmen und seinen Angriff m\u00f6glicherweise mit einem weiteren Exploit zu eskalieren.<\/p>\n

52% von 700.000 = Potenzial f\u00fcr Schaden<\/h3>\n

Das Dateimanager-Plugin hilft Administratoren bei der Verwaltung von Dateien auf Websites, auf denen das Content-Management-System WordPress l\u00e4uft. Das Plugin enth\u00e4lt einen zus\u00e4tzlichen Dateimanager, bekannt als elFinder, eine Open-Source-Bibliothek, die die Kernfunktionalit\u00e4t des Plugins bereitstellt, sowie eine Benutzerschnittstelle f\u00fcr die Verwendung des Plugins. Die Schwachstelle ergibt sich aus der Art und Weise, wie das Plugin elFinder implementiert hat.<\/p>\n

Um Ihre Daten vor der Internet-\u00dcberwachung zu sch\u00fctzen und sie anonym zu halten – verwenden Sie Planet FreeVPN<\/a> jetzt auf Ihren Ger\u00e4ten!<\/div><\/div>\n

“Der Kern des Problems begann damit, dass das Dateimanager-Plugin die Erweiterung auf der Datei connector.minimal.php.dist<\/code> der elFinder-Bibliothek in .php umbenannte, so dass sie direkt ausgef\u00fchrt werden konnte, obwohl die Connector-Datei nicht vom Dateimanager selbst verwendet wurde”, erkl\u00e4rte Chamberland. “Solche Bibliotheken enthalten oft Beispieldateien, die nicht dazu bestimmt sind, ‘so wie sie sind’ ohne zus\u00e4tzliche Zugriffskontrollen verwendet zu werden, und diese Datei hatte keine direkten Zugriffsbeschr\u00e4nkungen, was bedeutet, dass jeder auf die Datei zugreifen konnte. Diese Datei konnte verwendet werden, um einen elFinder-Befehl zu initiieren und war mit der Datei elFinderConnector.class.php verbunden.<\/p>\n

Sal Aguilar, ein Auftragnehmer, der WordPress-Sites einrichtet und sichert, ging zu Twitter<\/a>, um vor Angriffen zu warnen, die er sieht.<\/p>\n

“Oh Mist!!!!” schrieb er. “Die WP File Manager-Schwachstelle ist SERI\u00d6S. Sie verbreitet sich schnell, und ich sehe, wie Hunderte von Websites infiziert werden. Malware wird auf \/wp-content\/plugins\/wp-file-manager\/lib\/files hochgeladen.”<\/div><\/div>\n

Die Sicherheitsl\u00fccke liegt in den Datei-Manager-Versionen von 6.0 bis 6.8.Statistiken von WordPress<\/a> zeigen, dass derzeit etwa 52 Prozent der Installationen anf\u00e4llig sind. Da mehr als die H\u00e4lfte der installierten File Manager-Basis von 700.000 Sites anf\u00e4llig ist, ist das Schadenspotential hoch. Sites, auf denen eine dieser Versionen l\u00e4uft, sollten so bald wie m\u00f6glich auf 6.9 aktualisiert werden.<\/p>\n