Dutzende WordPress-Plug-Ins sind offline, nachdem eine Hintertür entdeckt wurde, die Schadcode an Websites verteilte, die diese Plug-Ins nutzten. Diese Hintertür wurde nach der Übernahme des Plug-in-Herstellers Essential Plugin entdeckt.
Austin Ginder, Gründer von Anchor Hosting, berichtete über den Vorfall in einem Blogbeitrag, in dem er einen Lieferkettenangriff gegen Essential Plugin beschrieb. Ginder stellte fest, dass nach der Übernahme des Unternehmens im letzten Jahr eine Hintertür in den Quellcode der Plug-ins eingeführt wurde. Diese Hintertür blieb bis vor kurzem inaktiv, als sie begann, Schadcode auf betroffene Websites zu übertragen.
Essential Plugin gibt an, über 400.000 Plug-in-Installationen und mehr als 15.000 Kunden zu haben. Derzeit sind die betroffenen Plug-ins in über 20.000 aktiven WordPress-Installationen vorhanden, wodurch viele Websites potenziellen Sicherheitslücken ausgesetzt sind.
Plug-ins erweitern die WordPress-Funktionalität, gewähren jedoch erheblichen Zugriff auf ihre Host-Installationen. Ginder gab an, dass Benutzer nicht über Besitzerwechsel von Plug-ins informiert werden, wodurch das Risiko von Übernahmeangriffen durch neue Eigentümer steigt.
Dieser Vorfall ist der zweite gemeldete Hijacking eines WordPress-Plug-ins in den letzten zwei Wochen. Ginder betonte die wachsende Besorgnis von Sicherheitsforschern hinsichtlich böswilliger Akteure, die Software erwerben, nur um deren Code zu ändern und so das Netzwerk umfassend zu kompromittieren.
Die kompromittierten Plug-ins wurden aus dem WordPress-Verzeichnis entfernt und werden nun als dauerhaft geschlossen aufgeführt. Ginder empfahl WordPress-Besitzern, ihre Installationen zu überprüfen und alle schädlichen Plug-ins zu entfernen. Eine Liste der betroffenen Plug-ins hat er in seinem Blogbeitrag bereitgestellt.
