{"id":261886,"date":"2022-01-22T10:35:26","date_gmt":"2022-01-22T09:35:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261886"},"modified":"2022-01-22T11:50:45","modified_gmt":"2022-01-22T10:50:45","slug":"wordpress-backdoors-in-accesspress-themes-und-plugins","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/22\/wordpress-backdoors-in-accesspress-themes-und-plugins\/","title":{"rendered":"WordPress: Backdoors in AccessPress Themes und Plugins"},"content":{"rendered":"

\"\"[English<\/a>]WordPress-Nutzer aufgepasst, es gibt durch einen Lieferkettenangriff auf den Anbieter AccessPress wieder massive Schwachstellen in WordPress Plugins und Themes. In dutzenden Plugins und Themes dieses Anbieters haben Hacker Hintert\u00fcren eingebaut, um die Seiten zu hacken und ggf. Daten zu \u00fcbernehmen. Und es gibt ein HTML-Mail Plugin mit einer Schwachstelle. Hier ein kurzer \u00dcberblick.<\/p>\n

<\/p>\n

Lieferkettenangriff auf Plugins und Themes<\/h2>\n

\"\"Dieses Mal hat es AccessPress, einen Entwickler von von WordPress-Add-ons, die in \u00fcber 360.000 aktiven Websites verwendet werden, getroffen. Sowohl die Kollegen von Bleeping Computer<\/a>, als auch The Hacker News<\/a> haben das Ganze thematisiert.<\/p>\n

\"Backdoors<\/a><\/p>\n

Aufgedeckt wurde der Sicherheitsvorfall<\/a> von Jetpack, Sucuri hat es hier<\/a> angesprochen. Bei der Untersuchung einer kompromittierten Website entdeckten die Sicherheitsforscher verd\u00e4chtigen Code in einem Theme von AccessPress Themes (auch bekannt als Access Keys). AccessPress ist ein Anbieter mit einer gro\u00dfen Anzahl beliebter Themes und Plugins.<\/p>\n

AccessPress gehackt<\/h2>\n

Bei weiteren Analysen stellten die Sicherheitsforscher fest, dass alle Themes und die meisten Plugins des Anbieters diesen verd\u00e4chtigen Code enthielten. Die infizierten Erweiterungen enthielten einen Dropper f\u00fcr eine Web-Shell, die den Angreifern vollen Zugriff auf die infizierten Websites erm\u00f6glicht. Das betraf aber nur Code, der von der Website des Anbieters heruntergeladen wurde. Die gleichen Erweiterungen waren in Ordnung, wenn sie direkt aus dem WordPress.org-Verzeichnis heruntergeladen oder installiert wurden.<\/p>\n

Aufgrund der Art und Weise, wie die Erweiterungen kompromittiert wurden, vermuteten die Sicherheitsforscher, dass ein externer Angreifer in die Website von AccessPress Themes eingedrungen war, um deren Erweiterungen zur Infizierung weiterer Websites zu nutzen. Der Versuch, sich mit dem Anbieter in Verbindung zu setzen, blieb ergebnislos. Nachdem die Angelegenheit an das WordPress.org-Plugin-Team weitergeleitet wurde, best\u00e4tigte sich der Verdacht. Die Websites von AccessPress Themes wurden in der ersten Septemberh\u00e4lfte 2021 angegriffen, und die Erweiterungen, die auf deren Website zum Download bereitstehen, wurden mit einer Backdoor versehen.<\/p>\n

Betroffene m\u00fcssen reagieren<\/h2>\n

Auf dieser Webseite<\/a> findet sich eine Liste der mit einer Backdoor infizierten WordPress Themes und Plugins. Wer sich Themes oder Plugins direkt von AccessPress Themes oder von einem anderen Anbieter (jedoch nicht von der Seite WordPress.org<\/em>) installiert hat, sollte sofort auf eine sichere Version aktualisieren (siehe \u00dcbersicht in den Tabellen dieser Webseite<\/a>). Ist keine sichere Version verf\u00fcgbar, ist das Theme\/Plugin durch die neueste Version von WordPress.org zu ersetzen.<\/p>\n

Bitte beachten Sie, dass dadurch die Hintert\u00fcr nicht von Ihrem System entfernt wird, so dass Sie zus\u00e4tzlich eine saubere Version von WordPress neu installieren m\u00fcssen, um die w\u00e4hrend der Installation der Hintert\u00fcr vorgenommenen \u00c4nderungen an den Kerndateien r\u00fcckg\u00e4ngig zu machen. Wer ein kostenpflichtiges Theme oder Plugin von AccessPress Themes\/Access Keys verwendet, sollte deren Support kontaktieren.<\/p>\n

Schwachstelle in WP HTML Mail-Plugin<\/h2>\n

Das WordPress-Plugin WP HTML Mail, das auf \u00fcber 20.000 Websites installiert ist, weist einen schwerwiegenden Fehler auf, der zur Einschleusung von Code und zur Verbreitung von \u00fcberzeugenden Phishing-E-Mails f\u00fchren kann. Die Kollegen von Bleeping Computer haben hier<\/a> dar\u00fcber berichtet. Auch heise hat in diesem Artikel<\/a> etwas zur Schwachstelle geschrieben.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]WordPress-Nutzer aufgepasst, es gibt durch einen Lieferkettenangriff auf den Anbieter AccessPress wieder massive Schwachstellen in WordPress Plugins und Themes. In dutzenden Plugins und Themes dieses Anbieters haben Hacker Hintert\u00fcren eingebaut, um die Seiten zu hacken und ggf. Daten zu \u00fcbernehmen. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-261886","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261886"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261886\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}