Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Kritische Schwachstelle in WordPress-Plugin

- Warnmeldung

Über eine kritische Schwachstelle in einem WordPress-Plugin können sich angreifende Personen Administratorrechte verschaffen. Sie hätten damit vollständigen Zugriff auf die jeweiligen Webseiten. Mit einem Update können sich Betroffene schützen.
Ausrufezeichen als Warnung auf Handy

© Adobe Stock

Plugin Ultimate Member

Das Content-Management-System Wordpress enthält eine kritische Schwachstelle im Plugin Ultimate Member. Bei Angriffen kann man sich durch diese Administratorrechte verschaffen und somit den vollständigen Zugriff auf die verwundbare Webseite bekommen. Betroffen sind alle Versionen des WordPress-Plugins Ultimate Member bis einschließlich Version 2.6.6. Die Schwachstelle mit der Bezeichnung CVE-2023-3460 hat einen CVSS-Score von 9.8 (kritisch).

Trotz des Versuchs die Schwachstelle in den Versionen 2.6.3, 2.6.4, 2.6.5 und 2.6.6 zu beheben, gab es weiter die Möglichkeit die Schwachstelle auszunutzen. Nach eigenen Angaben des Anbieters von Ultimate Member steht seit Anfang Juli Version 2.6.7 zur Verfügung. Damit soll die Schwachstelle geschlossen sein. Der Anbieter rät zu einem zügigen Update.

Ultimate Member ist ein Benutzerprofil- und Mitgliedschafts-Plugin, das Anmeldungen und den Aufbau von Communitys auf WordPress-Webseiten erleichtert. Derzeit gibt es über 200.000 aktive Installationen.

Empfehlungen

Beachten Sie folgende Empfehlungen:

  • Installieren Sie Version 2.6.7 von Ultimate Member schnellstmöglich. Wenn dies nicht möglich ist, deinstallieren Sie Ultimate Member sofort.
  • Wird die Kompromittierung einer Webseite festgestellt (siehe unten genannte Indikatoren), dann reicht es nicht aus, das Plugin zu deinstallieren, um das Risiko zu beseitigen.
    In diesem Fall müssen Webseiten-Verantwortliche vollständige Malware-Scans durchführen, um alle Spuren der Kompromittierung zu beseitigen (z. B. betrügerische Administratorkonten und alle Backdoors).

Indikatoren (IoCs)

WordPress-Webseiten, die bei solchen Angriffen gehackt wurden, zeigen folgende Indikatoren:

  • Auftauchen neuer Administratorkonten auf der Webseite
  • Verwendung folgender Benutzernamen
    • wpenginer
    • wpadmins
    • wpengine_backup
    • se_brutal
    • segs_brutal
  • Protokolleinträge, die zeigen, dass als bösartig bekannte IP-Adressen auf die Registrierungsseite für Ultimate-Mitglieder zugegriffen haben
  • Log-Einträge, die den Zugriff von folgenden IP-Adressen zeigen:
    • 146.70.189.245
    • 103.187.5.128
    • 103.30.11.160
    • 103.30.11.146
    • 172.70.147.176
  • Auftauchen eines Benutzerkontos mit einer E-Mail-Adresse, die mit „exelica.com“ verbunden ist
  • Installation neuer WordPress-Plugins und -Themen auf der Webseite

Ausführliche Informationen