Cyberangreifer nutzen kritischen WordPress-Plugin-Bug aus

Cyber Security News

Die Sicherheitslücke im Plugin Plus Addons for Elementor wurde in aktiven Zero-Day-Angriffen ausgenutzt, bevor ein Patch veröffentlicht wurde.

Das Plus Addons for Elementor-Plugin für WordPress hat eine kritische Sicherheitslücke, die Angreifer ausnutzen können, um schnell, einfach und aus der Ferne eine Website zu übernehmen. Zuerst als Zero-Day-Bug gemeldet, sagten Forscher, dass es aktiv in der Wildnis angegriffen wird.

Das Plugin, das nach Angaben seines Entwicklers mehr als 30.000 aktive Installationen hat, ermöglicht es Website-Besitzern, verschiedene benutzerorientierte Widgets für ihre Websites zu erstellen, einschließlich Benutzeranmeldungen und Registrierungsformulare, die zu einer Elementor-Seite hinzugefügt werden können. Elementor ist ein Site-Building-Tool für WordPress.

Der Bug (CVE-2021-24175) ist ein Privilege-Escalation- und Authentifizierungs-Bypass-Problem, das in dieser Registrierungsformular-Funktion der Plus Addons für Elementor existiert. Die Schwachstelle wird auf der CVSS-Schwachstellen-Skala mit 9,8 bewertet und ist damit kritisch.

“Unglücklicherweise war diese Funktion nicht richtig konfiguriert und ermöglichte es Angreifern, sich als administrativer Benutzer zu registrieren oder sich als bestehender administrativer Benutzer anzumelden”, so die Forscher von Wordfence in einem Posting diese Woche. Sie fügten hinzu, dass dies auf eine fehlerhafte Sitzungsverwaltung zurückzuführen ist, nannten aber keine weiteren technischen Details.

Als Zero-Day-Bug ausgenutzt

Der Fehler wurde WPScan zuerst von Seravo, einem Web-Hosting-Unternehmen, als Zero-Day gemeldet, der von Cyberkriminellen aktiv angegriffen wird.

“Das Plugin wird aktiv von böswilligen Akteuren ausgenutzt, um die Authentifizierung zu umgehen, so dass nicht authentifizierte Benutzer sich als beliebiger Benutzer (einschließlich admin) anmelden können, indem sie einfach den zugehörigen Benutzernamen angeben, sowie Konten mit beliebigen Rollen, wie z. B. admin, erstellen können”, heißt es in der Übersicht von WPScan.

Was die Art und Weise betrifft, wie Cyberkriminelle den Exploit in freier Wildbahn nutzen, stellte Wordfence fest, dass Indikatoren für eine Kompromittierung darauf hindeuten, dass Angreifer privilegierte Konten erstellen und diese dann zur weiteren Kompromittierung der Website nutzen.

“Wir glauben, dass Angreifer Benutzerkonten mit Benutzernamen als registrierte E-Mail-Adresse hinzufügen, basierend auf der Art und Weise, wie die Schwachstelle Benutzerkonten erstellt, und in einigen Fällen ein bösartiges Plugin mit der Bezeichnung ‘wpstaff’ installieren”, so die Forscher.

Beunruhigenderweise fügten sie hinzu, dass die Schwachstelle auch dann ausgenutzt werden kann, wenn es keine aktive Login- oder Registrierungsseite gibt, die mit dem Plugin erstellt wurde, und selbst dann, wenn Registrierung und Logins ausgesetzt oder deaktiviert sind.

“Das bedeutet, dass jede Website, auf der dieses Plugin läuft, anfällig für eine Kompromittierung ist”, heißt es in dem Wordfence-Posting.

So beheben Sie die Sicherheitslücke bei Plus Addons für Elementor

Die Sicherheitslücke wurde am Montag gemeldet und einen Tag später vollständig gepatcht. Site-Administratoren sollten auf die Version 4.1.7 der Plus Addons für Elementor aktualisieren, um eine Gefährdung zu vermeiden, und sie sollten auf “unerwartete administrative Benutzer oder Plugins, die Sie nicht installiert haben”, überprüfen, so Wordfence. The Plus Addons for Elementor Lite enthält nicht die gleiche Schwachstelle, fügte die Firma hinzu.

“Wenn Sie das Plugin The Plus Addons for Elementor verwenden, empfehlen wir Ihnen dringend, das Plugin komplett zu deaktivieren und zu entfernen, bis diese Sicherheitslücke gepatcht ist”, so die Forscher. “Wenn die kostenlose Version für Ihre Bedürfnisse ausreicht, können Sie bis auf Weiteres auf diese Version umsteigen.”

WordPress-Plugin-Probleme bleiben bestehen

WordPress-Plugins bieten weiterhin eine attraktive Angriffsmöglichkeit für Cyberkriminelle.

Im Januar warnten Forscher vor zwei Schwachstellen (eine davon kritisch) in einem WordPress-Plugin namens Orbit Fox, die es Angreifern ermöglichen könnten, bösartigen Code in anfällige Websites zu injizieren und/oder die Kontrolle über eine Website zu übernehmen.

Ebenfalls in diesem Monat wurde festgestellt, dass ein Plugin namens PopUp Builder, das von WordPress-Websites zum Erstellen von Popup-Anzeigen für Newsletter-Abonnements verwendet wird, eine Schwachstelle aufweist, die von Angreifern ausgenutzt werden kann, um Newsletter mit benutzerdefinierten Inhalten zu versenden oder Newsletter-Abonnenten zu löschen oder zu importieren.

Und im Februar wurde ein ungepatchter, gespeicherter Cross-Site-Scripting (XSS)-Sicherheitsfehler gefunden, der potenziell 50.000 Benutzer des Contact Form 7 Style-Plugins betrifft.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com