Aktive Exploits treffen WordPress-Websites, die anfällig für Thrive Themes-Fehler sind

Cyber Security News

Thrive Themes hat kürzlich Schwachstellen in ihren WordPress-Plugins und Legacy-Themes gepatcht – doch Angreifer haben es auf diejenigen abgesehen, die noch keine Sicherheitsupdates eingespielt haben.

Angreifer nutzen aktiv zwei kürzlich gepatchte Sicherheitslücken in einer beliebten Suite von Tools für WordPress-Websites der Marketing-Plattform Thrive Themes aus.

Thrive Themes bietet verschiedene Produkte an, die WordPress-Websites dabei helfen, “Besucher in Leads und Kunden zu konvertieren.” Die Produktreihe, Thrive Suite genannt, umfasst eine Reihe von Legacy-Themes – Tools, die helfen, das Layout und Design von WordPress-Websites zu ändern – sowie verschiedene Plugins. Diese Plugins bieten verschiedene Website-Entwicklungs- und visuelle Funktionalitäten, darunter Thrive Architect, das Website-Besitzern hilft, Website-Landingpages zu erstellen, und Thrive Comments, das ihnen hilft, ansprechende Kommentarbereiche zu implementieren.

Zwei Schwachstellen wurden sowohl in diesen Legacy-Themes als auch in den Plugins entdeckt, und Patches wurden daraufhin am 12. März veröffentlicht. Die Schwachstellen könnten miteinander verkettet werden, so dass nicht authentifizierte Angreifer letztendlich beliebige Dateien auf verwundbare WordPress-Sites hochladen können – was eine Kompromittierung der Website ermöglicht.

Doch trotz der Veröffentlichung der Patches sehen Forscher eine Welle von Exploit-Versuchen beginnen – und sie warnen, dass mehr als 100.000 WordPress-Sites, die Thrive Themes-Produkte verwenden, immer noch anfällig sein könnten.

“Wir sehen, dass diese Schwachstellen aktiv in freier Wildbahn ausgenutzt werden, und wir fordern die Benutzer dringend auf, sofort auf die neuesten verfügbaren Versionen zu aktualisieren, da sie einen Patch für diese Schwachstellen enthalten”, so Chloe Chamberland, Bedrohungsanalystin bei Wordfence am Mittwoch.

Im Folgenden finden Sie eine Liste der betroffenen Versionen von Thrive Themes Legacy Themes und Plugins, laut Wordfence: Alle Legacy-Themes, einschließlich Rise, Ignition und andere | Version < 2.0.0 Thrive Optimize | Version < 1.4.13.3 Thrive Comments | Version < 1.4.15.3 Thrive Headline Optimizer | Version < 1.3.7.3 Thrive Themes Builder | Version < 2.2.4 Thrive Leads Version | < 2.3.9.4 Thrive Ultimatum Version | < 2.3.9.4 Thrive Quiz Builder Version | < 2.3.9.4 Thrive Apprentice | Version < 2.3.9.4 Thrive Architect | Version < 2.6.7.4 Thrive Dashboard | Version < 2.3.9.3

Die Schwachstellen

Die kritischere der beiden Schwachstellen erreicht 10 von 10 Punkten auf der CVSS-Skala und existiert in Thrive Themes Legacy Themes. Diese Themes bieten die Möglichkeit, Bilder während des Uploads automatisch zu komprimieren – allerdings sei diese Funktionalität unsicher implementiert, so Chamberland.

“Thrive ‘Legacy’ Themes registrieren einen REST-API-Endpunkt, um Bilder mithilfe der Kraken-Bildoptimierungs-Engine zu komprimieren”, so Chamberland. “Durch die Bereitstellung einer manipulierten Anfrage in Kombination mit Daten, die über die Option-Update-Schwachstelle eingefügt wurden, war es möglich, diesen Endpunkt zu nutzen, um bösartigen Code von einer Remote-URL abzurufen und eine bestehende Datei auf der Website damit zu überschreiben oder eine neue Datei zu erstellen. Dazu gehören auch ausführbare PHP-Dateien, die bösartigen Code enthalten.”

Eine weitere, weniger schwerwiegende Sicherheitslücke besteht in Thrive Themes Plugins. Dieser Fehler rührt von einer unsicheren Implementierung einer Funktion im Thrive Dashboard her, die die Integration mit dem Online-Automatisierungstool Zapier ermöglicht. Um diese Integration zu ermöglichen, registrieren Thrive Themes-Produkte einen REST-API-Endpunkt, der mit der Zapier-Funktionalität verbunden ist.

“Während für den Zugriff auf diesen Endpunkt ein API-Schlüssel erforderlich sein sollte, war es möglich, auf ihn zuzugreifen, indem ein leerer api_key-Parameter in anfälligen Versionen angegeben wurde, wenn Zapier nicht aktiviert war”, so Chamberland. “Angreifer konnten diesen Endpunkt nutzen, um beliebige Daten zu einer vordefinierten Option in der Tabelle wp_options hinzuzufügen.”

Eine CVE-ID für diese beiden Schwachstellen ist laut Wordfence noch nicht vergeben.

Die Exploit-Kette

Chamberland sagte, dass Angreifer diese beiden Schwachstellen miteinander verketten können, um auf betroffene Websites zuzugreifen – obwohl Chamberland bemerkte, dass die Forscher absichtlich minimale Details über die Exploit-Kette bereitstellen, “um die Ausnutzung auf ein Minimum zu beschränken und gleichzeitig die Besitzer von WordPress-Sites, die betroffene Thrive-Theme-Produkte verwenden, über diese aktive Kampagne zu informieren.”

Auf einer hohen Ebene nutzen Angreifer die mittelschwere Schwachstelle “Unauthenticated Option Update”, um eine Option in der Datenbank zu aktualisieren. Dies kann dann genutzt werden, um die Schwachstelle “Unauthenticated Arbitrary File Upload” mit kritischem Schweregrad auszunutzen – und eine bösartige PHP-Datei hochzuladen.

“Die Kombination dieser beiden Schwachstellen ermöglicht es Angreifern, sich durch eine Hintertür Zugang zu verwundbaren Websites zu verschaffen, um diese weiter zu kompromittieren”, so Chamberland.

Angreifer nutzen die Schwachstellen weiter aus

Die Forscher waren in der Lage, diesen Einbruchsvektor” auf einer einzelnen Website zu verifizieren – und sie fanden dann die durch diesen Angriff hinzugefügte Nutzlast auf über 1.900 Websites, die alle anscheinend verwundbare REST-API-Endpunkte haben.

Chamberland erklärte gegenüber Threatpost, dass die Forscher beobachten, dass Angreifer eine signup.php-Datei in das Home-Verzeichnis der angegriffenen Websites einfügen, die dann verwendet wird, um die Websites weiter mit Spam zu infizieren.

“Diese Zahl steigt weiter an, was darauf hindeutet, dass die Angreifer weiterhin erfolgreich die Schwachstellen ausnutzen und Websites kompromittieren”, so Chamberland gegenüber Threatpost. “Im Moment haben wir keine Ahnung, wer genau hinter den Angriffen steckt, aber die meisten Angriffsdaten, die wir sehen, kommen hauptsächlich von einem Angreifer mit der IP-Adresse 5.255.176.41.”

Laut Chamberland sollten Nutzer von Thrive Themes sicherstellen, dass sie so schnell wie möglich aktualisiert werden.

“Bis auf Weiteres empfehlen wir Website-Besitzern, die eines der ‘Legacy’-Themes von Thrive Themes verwenden, ein sofortiges Update auf Version 2.0.0 und allen Website-Besitzern, die eines der Thrive-Plugins verwenden, ein Update auf die neueste verfügbare Version der jeweiligen Plugins”, betonte sie.

Threatpost hat Thrive Themes für eine weitere Stellungnahme kontaktiert.

Einige Teile dieses Artikels stammen aus:
threatpost.com