{"id":260374,"date":"2021-12-10T11:17:21","date_gmt":"2021-12-10T10:17:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260374"},"modified":"2023-02-20T08:14:51","modified_gmt":"2023-02-20T07:14:51","slug":"schwere-angriffe-auf-16-millionen-wordpress-seiten-9-12-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/10\/schwere-angriffe-auf-16-millionen-wordpress-seiten-9-12-2021\/","title":{"rendered":"Schwere Angriffe auf 1,6 Millionen WordPress-Seiten (9.12.2021)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\" alt=\"\" width=\"64\" height=\"64\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/10\/schwere-angriffe-auf-16-millionen-wordpress-seiten-9-12-2021\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Das Threat Intelligence-Team des Sicherheitsanbieters WordFence hat am 9. Dezember 2021 einen drastischen Anstieg von Angriffen auf Sicherheitsl\u00fccken in WordPress-Instanzen bemerkt. In den vergangenen 36 Stunden hat das Wordfence-Netzwerk \u00fcber 13,7 Millionen Angriffe auf vier verschiedene Plugins und mehrere Epsilon-Framework-Themes auf \u00fcber 1,6 Millionen Websites blockiert, die von \u00fcber 16.000 verschiedenen IP-Adressen ausgingen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/a29c4f41201d428aacc785ead2731d7f\" alt=\"\" width=\"1\" height=\"1\" \/>Die Angreifer zielen auf 4 einzelne Plugins mit unauthentifizierten, willk\u00fcrlichen Options-Update-Schwachstellen. Bei den vier Plugins handelt es sich um:<\/p>\n<ul>\n<li>Kiwi Social Share, das seit dem 12. November 2018 gepatcht ist,<\/li>\n<li>WordPress Automatic, seit dem 23. August 2021 gepatcht, und<\/li>\n<li>Pinterest Automatic, seit dem 23. August 2021 gepatcht, sowie<\/li>\n<li>PublishPress Capabilities, seit 6. Dezember 2021 gepatcht.<\/li>\n<\/ul>\n<p>Dar\u00fcber hinaus zielen die Angreifer auf eine Function Injection-Schwachstelle in verschiedenen Epsilon Framework-Themes ab und versuchen, beliebige Optionen zu aktualisieren. Hier die Liste der Epsilon Framework-Themes:<\/p>\n<ul>\n<li>Shapely<\/li>\n<li>NewsMag<\/li>\n<li>Activello<\/li>\n<li>Illdy<\/li>\n<li>Allegiant<\/li>\n<li>Newspaper X<\/li>\n<li>Pixova Lite<\/li>\n<li>Brilliance<\/li>\n<li>MedZone Lite<\/li>\n<li>Regina Lite<\/li>\n<li>Transcend<\/li>\n<li>Affluent<\/li>\n<li>Bonkers<\/li>\n<li>Antreas<\/li>\n<li>NatureMag Lite (kein Patch verf\u00fcgbar)<\/li>\n<\/ul>\n<p>In den meisten F\u00e4llen stellen die Angreifer die WordPress<em> users_can_register<\/em>-Option auf <em>enabled <\/em>und setzen die <em>default_role<\/em>-Option auf `administrator.` Dadurch k\u00f6nnen sich Angreifer auf jeder Website als Administrator registrieren und die Website \u00fcbernehmen.<\/p>\n<p>Die von WordFence erfassten Angriffsdaten zeigen, dass es bis zum 8. Dezember 2021 nur sehr wenige Aktivit\u00e4ten von Angreifern gab, die auf eine dieser Schwachstellen abzielten. Dies l\u00e4sst vermuten, dass die k\u00fcrzlich gepatchte Schwachstelle in PublishPress Capabilities die Angreifer dazu veranlasst haben k\u00f6nnte, im Rahmen einer gro\u00df angelegten Kampagne verschiedene Schwachstellen des Arbitrary Options Update ins Visier zu nehmen.<\/p>\n<p><a href=\"https:\/\/www.wordfence.com\/blog\/2021\/12\/massive-wordpress-attack-campaign\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Attacks on WordPress sites\" src=\"https:\/\/i.imgur.com\/ctMxidG.png\" alt=\"Attacks on WordPress sites\" \/><\/a><br \/>\nAngriffe auf WordPress-Instanzen, Quelle: <a href=\"https:\/\/www.wordfence.com\/blog\/2021\/12\/massive-wordpress-attack-campaign\/\" target=\"_blank\" rel=\"noopener\">WordFence<\/a><\/p>\n<h2>WordPress sch\u00fctzen und pr\u00fcfen<\/h2>\n<p>Der WordFence-Blog-Beitrag <a href=\"https:\/\/www.wordfence.com\/blog\/2021\/12\/massive-wordpress-attack-campaign\/\" target=\"_blank\" rel=\"noopener\">1.6 Million WordPress Sites Hit With 13.7 Million Attacks In 36 Hours From 16,000 IPs<\/a> enth\u00e4lt weitere Details zu den Angriffen und aktualisierten Plugins. Nutzer, die WordFence (egal ob Free oder Pro) einsetzen, werden durch Firewall-Regeln und Updates der Plugins gesch\u00fctzt.<\/p>\n<p><img decoding=\"async\" title=\"WordPress-Einstellungen Benutzer\" src=\"https:\/\/i.imgur.com\/a7pwe1K.png\" alt=\"WordPress-Einstellungen Benutzer\" \/><\/p>\n<p>Um zu pr\u00fcfen, ob die WordPress-Instanz kompromittiert ist, geht man ins Dashboard und kontrolliert unter <em>Einstellungen &#8211; Allgemein <\/em>die Option<em> Mitgliedschaft<\/em> (sollte unmarkiert sein, wenn man keine Benutzerregistrierung zul\u00e4sst). Und die Standardrolle eines neuen Benutzers sollte auf <em>Abonnent <\/em>stehen. Sind die Optionen markiert und auf <em>Administrator <\/em>gestellt, ohne dass dies vom Administrator der WordPress-Instanz geplant war, ist das ein Hinweis auf eine m\u00f6gliche Kompromittierung. Dann sollte man unter <em>Benutzer <\/em>kontrollieren, ob dort Eintr\u00e4ge sind, die da nicht hin geh\u00f6ren. (via)<\/p>\n<blockquote><p>Ich stelle erneut fest, dass meine Entscheidung, mit einem minimalen Set an Plugins und Themes, die zeitnah aktualisiert werden, von obigen Schwachstellen nicht betroffen bin. Zudem erweist sich die Entscheidung als richtig, keine Benutzer zu registrieren (es gibt nur zwei Konten f\u00fcr den Betreiber der Webseiten. Das reduziert die Angreifbarkeit enorm. Und WordFence l\u00e4uft hier auch mit.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das Threat Intelligence-Team des Sicherheitsanbieters WordFence hat am 9. Dezember 2021 einen drastischen Anstieg von Angriffen auf Sicherheitsl\u00fccken in WordPress-Instanzen bemerkt. In den vergangenen 36 Stunden hat das Wordfence-Netzwerk \u00fcber 13,7 Millionen Angriffe auf vier verschiedene Plugins und mehrere Epsilon-Framework-Themes &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/schwere-angriffe-auf-16-millionen-wordpress-seiten-9-12-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-260374","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260374","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260374"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260374\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260374"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260374"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260374"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}