Schädliche Skripte und Hintertüren zielen auf kritische WordPress-Plugin-Fehler ab
Eine neue Welle von Cyberangriffen nutzt Schwachstellen in drei weit verbreiteten WordPress-Plugins aus und schleust bösartige Skripte und Hintertüren in Websites ein, warnt Fastly. Diese kritischen Schwachstellen ermöglichen es Angreifern, nicht authentifizierte gespeicherte Cross-Site-Scripting-Angriffe (XSS) auszuführen, was die Erstellung nicht autorisierter WordPress-Administratorkonten, die Einschleusung von PHP-Hintertüren in Plugin- und Theme-Dateien und die Einrichtung von Tracking-Skripten zur Überwachung kompromittierter Websites erleichtert.
Fastly hat eine erhebliche Zahl von Angriffsversuchen beobachtet, die von IPs ausgehen, die mit dem Autonomous System (AS) IP Volume Inc. verknüpft sind. Zu den betroffenen Plugins zählen WP Statistics, WP Meta SEO und LiteSpeed Cache, was sich auf Millionen aktiver Installationen auswirkt.
Inhaltsverzeichnis
WP Statistics-Sicherheitslücke: CVE-2024-2194
Die erste Schwachstelle betrifft das WP Statistics-Plugin, das über 600.000 aktive Installationen vorweisen kann. Dieser als CVE-2024-2194 bezeichnete Fehler ermöglicht es Angreifern, Skripte über den URL-Suchparameter einzuschleusen. Er wurde im März bekannt gegeben und betrifft die Versionen 14.5 und früher. Die eingeschleusten Skripte werden immer dann ausgeführt, wenn ein Benutzer auf eine infizierte Seite zugreift. Dabei fügen Angreifer den Parameter „utm_id“ zu den Anfragen hinzu, um sicherzustellen, dass die Nutzlast auf den am häufigsten besuchten Seiten erscheint.
WP Meta SEO-Sicherheitslücke: CVE-2023-6961
Die zweite Sicherheitslücke, CVE-2023-6961, betrifft das WP Meta SEO-Plugin mit über 20.000 aktiven Installationen. Dieser Fehler ermöglicht es Angreifern, eine Nutzlast in Seiten einzuschleusen, die eine 404-Antwort generieren. Wenn ein Administrator eine solche Seite lädt, ruft das Skript verschleierten JavaScript-Code von einem Remote-Server ab. Wenn der Administrator authentifiziert ist, kann die Nutzlast seine Anmeldeinformationen stehlen.
LiteSpeed Cache-Sicherheitslücke: CVE-2023-40000
Die dritte Schwachstelle, CVE-2023-40000, zielt auf das LiteSpeed Cache-Plugin ab, das über 5 Millionen aktive Installationen hat. Angreifer tarnen die XSS-Nutzlast als Administratorbenachrichtigung und lösen das Skript aus, wenn ein Administrator auf eine Backend-Seite zugreift. Dadurch kann das Skript mit den Anmeldeinformationen des Administrators für nachfolgende böswillige Aktionen ausgeführt werden.
Fastlys Untersuchung hat fünf Domänen identifiziert, auf die in den bösartigen Payloads verwiesen wird, sowie zwei weitere Domänen, die zum Tracking verwendet werden. Mindestens eine davon wurde bereits zuvor mit der Ausnutzung anfälliger WordPress-Plugins in Verbindung gebracht. Website-Administratoren, die die betroffenen Plugins verwenden, wird empfohlen, sofort auf die neuesten Versionen zu aktualisieren und ihre Websites auf verdächtige Aktivitäten zu überwachen.