Die IT-Forscher von Wordfence haben den selben Schadcode in fünf Plug-ins für das Content-Management-System WordPress entdeckt. Ein Update, das die Malware entfernt, gibt es nur für eines der betroffenen Plug-ins. Die anderen Plug-ins werden zur Deinstallation empfohlen.
In einem Blogeintrag teilte WordPress mit, dass das Social Warfare Plug-in am Montag dieser Woche durch einen Forenbeitrag des WordPress Plug-in Review Teams auf einen eingeschleusten Code aufmerksam wurde. Bei der Untersuchung des Plug-ins entdeckten die Forscher vier weitere Plug-ins, die den Schadcode enthielten.
Der Quellcode mehrerer Plug-ins wurde von einem Angreifer kompromittiert. Dabei wurde Code eingeschleust, der Datenbankzugangsdaten ausspioniert und dazu verwendet wird, neue bösartige Administratorkonten zu erstellen und diese Daten an einen Server zu senden. Dies wird von Wordfence in dem CVE-Eintrag für die Schwachstelle (CVE-2024-6297) vermerkt.
Mit der Malware infiziert sind folgende Plug-ins:
- social-warfare, Version 4.4.6.4 – 4.4.7.1, 30.000+ Installationen
- blaze-widget, Version 2.2.5 – 2.5.2, 60+ Installationen
- wrapper-link-elementor, Version 1.0.2 – 1.0.3, 1000+ Installationen
- contact-form-7-multi-step-addon, Version 1.0.4 – 1.0.5, 700+ Installationen
- simply-show-hooks, Version 1.2.1, keine aktiven Installationen
Von Social Warfare steht eine gepatchte Version zur Verfügung, Version 4.4.7.3. Bei Wrapper Link Element scheint laut Wordfence jemand den Schadcode entfernt zu haben. Die neueste verfügbare Version ist jedoch 1.0.0, deren Versionsnummer kleiner ist als die der infizierten Versionen. Plug-ins, für die kein Update verfügbar sind, sollten daher von Websitebetreibern deinstalliert werden.
WordPress blockiert nun den Download der Plug-ins. Wer die Plug-ins installiert hat, muss seine Instanz als kompromittiert betrachten und Notfallmaßnahmen zur Eindämmung von IT-Sicherheitsvorfällen ergreifen. Dazu gehört beispielsweise in WordPress, die Administratorkonten zu prüfen und nicht autorisierte Konten zu löschen, sowie die Installation auf Schadcode zu untersuchen und diesen gegebenenfalls zu entfernen.
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998