In der dynamischen Welt des Internets ist Sicherheit von größter Bedeutung. Eine aktuelle Entdeckung durch das Wordfence Team wirft ein Schlaglicht auf die Bedeutung von Wachsamkeit und proaktiver Sicherheitsmaßnahmen. Das Ultimate Member Plugin, das bei über 200.000 WordPress-Websites im Einsatz ist, weist eine kritische Sicherheitslücke auf, die derzeit aktiv ausgenutzt wird. Dieser Artikel beleuchtet die Schwachstelle, ihre möglichen Auswirkungen und die empfohlenen Schritte zur Minderung des Risikos.
Das Wordfence Threat Intelligence Team entdeckte die Sicherheitslücke am 29. Juni 2023. Die Schwachstelle ermöglicht es Angreifern, sich mit Administratorrechten auf betroffenen Websites zu registrieren und potenziell Schadcode einzuschleusen. Bisher gibt es kein Update, das diese Lücke behebt. Es wird dringend empfohlen, das Plugin zu deinstallieren, bis eine Lösung verfügbar ist.
Inhaltsverzeichnis
Kritische Sicherheitslücke im Detail
Die Sicherheitslücke im Ultimate Member Plugin ermöglicht es Angreifern, sich auf einer Website als Administrator zu registrieren, indem sie eine vordefinierte Liste von gesperrten Benutzerschlüsseln umgehen, die das Plugin verwendet. Insbesondere können Angreifer die Benutzer-Meta-Werte „wp_capabilities“ manipulieren, um sich als Administrator zu registrieren. Dies gewährt ihnen vollen Zugriff auf die Website.
Ultimate Member ist ein WordPress-Plugin, das die einfache Registrierung und Kontoverwaltung auf Websites ermöglicht. Eine der Funktionen ist ein Registrierungsformular, das Benutzer nutzen können, um sich für ein Konto anzumelden. Leider ermöglicht dieses Formular das Setzen beliebiger Benutzer-Meta-Werte für ihr Konto.
Obwohl das Plugin eine vordefinierte Liste von gesperrten Schlüsseln hat, gibt es einfache Methoden, diese Filter zu umgehen, wie z. B. das Hinzufügen von Schrägstrichen zum Benutzer-Meta-Schlüssel. Dies ermöglicht es Angreifern, den „wp_capabilities“ Benutzer-Meta-Wert auf „Administrator“ zu setzen, was ihnen vollen Zugriff auf die betroffene Website gewährt.
Bisher kein Update verfügbar
Die aktuellste Version des Plugins, 2.6.6, bietet keine ausreichende Behebung der Schwachstelle. Das Wordfence Team empfiehlt daher, das Plugin zu deinstallieren, bis eine vollständige Behebung veröffentlicht wird.
Update auf Version 2.6.7 dringend empfohlen
Das Ultimate Member Plugin wurde am 05.07.2023 mit der Version 2.6.7 behoben. Das Update wird allen Anwendern des Plugins dringend empfohlen.
Erkennung eines erfolgreichen Angriffs
Es gibt bestimmte Anzeichen, die auf einen erfolgreichen Angriff hinweisen können. Dazu gehören neue Benutzerkonten mit Administratorrechten und ungewöhnliche Benutzernamen wie „wpengine“, „wpadmins“, „wpengine_backup“, „se_brutal“ und „segs_brutal“. Es wird empfohlen, auch auf verdächtige IP-Adressen in den Zugriffsprotokollen der Website sowie auf unerwartete Plugins und Themes zu achten.
Einige der IP-Adressen, die im Zusammenhang mit Angriffen identifiziert wurden, sind:
- 146.70.189.245
- 103.187.5.128
- 103.30.11.160
- 103.30.11.146
- 172.70.147.176
Zudem wurde die Domain „exelica.com“ in Verbindung mit Benutzerkonten-E-Mail-Adressen festgestellt. Die vollständige Liste ist auf der Wordfence Webseite zu finden.
Empfohlene Maßnahmen
Wenn eine Website von diesem Exploit betroffen ist, wird empfohlen, eine vertrauenswürdige WordPress-Agentur zu kontaktieren (wir stehen Ihnen gerne zur Seite). Alternativ kann die Website auch selbst mit dem kostenlosen Wordfence Plugin bereinigt werden.
Es ist wichtig zu beachten, dass die Sicherheitslücke bisher nicht behoben wurde und alle 200.000 Installationen des Ultimate Member Plugins derzeit gefährdet sind. Es wird dringend geraten, das Plugin zu deinstallieren, bis die Sicherheitslücke behoben wurde.
Fazit
Die kritische Sicherheitslücke im Ultimate Member Plugin stellt eine ernsthafte Bedrohung für WordPress-Websites dar und wird derzeit aktiv ausgenutzt. Die Schwachstelle ermöglicht es Angreifern, sich als Administratoren zu registrieren und potenziell schädliche Aktionen auf betroffenen Websites durchzuführen.
Es ist von größter Bedeutung, proaktiv zu handeln und geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität von Websites zu schützen. Das Deinstallieren des Plugins bis zur Veröffentlichung eines Sicherheitspatches ist derzeit die empfohlene Vorgehensweise.
Die Sicherheit von Online-Präsenzen sollte immer oberste Priorität haben. Es ist wichtig, wachsam zu bleiben und auf dem Laufenden zu bleiben, um potenzielle Bedrohungen zu erkennen und geeignete Maßnahmen zu ergreifen.
