Angriffe auf Web-Server via Wordpress-Plugin MailPoet

Über eine kürzlich entdeckte Sicherheitslücke werden derzeit systematisch Server gekapert. Wer das Anfang Juli veröffentlichte Update noch nicht installiert hat, sollte das dringend nachholen.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Lesezeit: 2 Min.

Sicherheitsforscher entdeckten kürzlich eine kritische Lücke des beliebten WordPress-Plugin MailPoet für komfortables Newsletter-Management. Die Entwickler reagierten prompt und veröffentlichten eine aktualisierte Version, die die Lücke beseitigt; betroffen waren alle vorherigen Versionen. Und die werden jetzt systematisch ausgenutzt, um eine Hintertür auf dem Web-Server zu installieren.

Durch einen Programmierfehler konnten beliebige Nutzer die eigentlich nur für Admins gedachte Upload-Funktion nutzen, um beliebige Dateien hochzuladen. Die Angreifer nutzen dies, um eine PHP-Datei mit einer Hintertür zu installieren, über die sie dann den Server kontrollieren können. Manche Web-Hoster wie 1&1 erkennen diese Angriffe bereits und informieren betroffene Kunden. Anfällig sind alle Versionen von MailPoet Plugin (wysija-newsletters) vor Version 2.6.7. Auch in der Nachfolgeversion gab es noch ein Lücke; aktuell ist nun 2.6.9. Wer eine ältere Version in Betrieb hat, sollte diese unverzüglich aktualisieren oder das Plugin entfernen.

Die Angreifer nutzen die Hintertür unter anderem für den Versand von Spam-Mail. Sie installieren dazu an verschiedenen Stellen neue PHP-Dateien oder manipulieren auch vorhandene, indem sie zusätzlichen PHP-Code einfügen. Die Reinigung eines infizierten Systems kann sich sehr mühselig gestalten, weil der Code zum Teil heftig verschwurbelt und somit nicht einfach aufzuspüren ist. Das Datum der Dateien wird dabei auf einen unverdächtigen Wert gesetzt, so dass man sich daran nicht orientieren kann. Einen ersten Anhaltspunkt für die weitere Inspektion kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Doch für eine zuverlässige Desinfektion wird das kaum ausreichen. (ju)