Hacker nutzen aktiv eine 0-Day Schwachstelle im WordPress-Plugin aus, das auf über 17.000 Websites installiert ist

Fancy Product Designer, ein WordPress-Plugin, das auf über 17.000 Websites installiert ist, enthält eine kritische Datei-Upload-Schwachstelle, die aktiv ausgenutzt wird, um Malware auf Websites hochzuladen, auf denen das Plugin installiert ist. Das Threat Intelligence Team von Wordfence, das die Schwachstelle entdeckt hat, meldete das Problem am 31. Mai an den Entwickler des Plugins. Die Schwachstelle wurde zwar bestätigt, muss aber noch behoben werden.

Fancy Product Designer ist ein Tool, mit dem Unternehmen individuell gestaltbare Produkte anbieten können. Kunden können damit jede Art von Artikel - von T-Shirts bis hin zu Handytaschen - gestalten, indem sie die Möglichkeit haben, Bilder und PDF-Dateien hochzuladen, die den Produkten hinzugefügt werden können. "Unglücklicherweise verfügte das Plugin zwar über einige Prüfungen, um das Hochladen bösartiger Dateien zu verhindern, aber diese Prüfungen waren unzureichend und konnten leicht umgangen werden, so dass Angreifer ausführbare PHP-Dateien auf jede Website hochladen konnten, auf der das Plugin installiert war", so Wordfence in einem am Dienstag veröffentlichten Schreiben.

Mit dieser Fähigkeit kann ein Angreifer Remote-Code-Ausführung auf einer betroffenen Website erreichen, was eine vollständige Übernahme der Website ermöglicht, so die Forscher. Wordfence hat die technischen Details der Schwachstelle nicht bekannt gegeben, da es bereits am 30. Januar Beweise für einen Missbrauch der Schwachstelle gefunden hat.

Wordfence teilte mit, dass die kritische Zero-Day-Schwachstelle in ausgewählten Konfigurationen ausgenutzt werden kann, selbst wenn das Plugin deaktiviert wurde, und rät Anwendern dringend, Fancy Product Designer vollständig zu deinstallieren, bis eine gepatchte Version verfügbar ist. Dies ist bei weitem nicht das erste Mal, dass Wordfence schwerwiegende Probleme in WordPress-Plugins aufgedeckt hat. Im Dezember 2017 wurde eine versteckte Hintertür im Captcha-Plugin von BestWebSoft gefunden, die 300.000 Websites betraf.

Anfang dieses Jahres deckten die Forscher dann Schwachstellen in Elementor und WP Super Cache auf, die es einem Angreifer bei erfolgreicher Ausnutzung ermöglichen könnten, beliebigen Code auszuführen und in bestimmten Szenarien eine Website zu übernehmen.

Update: Die Betreuer von Fancy Product Designer haben inzwischen ein Update (Version 4.6.9) veröffentlicht, um die oben erwähnte Datei-Upload-Schwachstelle zu beheben. Wordence hat außerdem die überarbeiteten Kompromittierungsindikatoren (Indicators of Compromise, IoC) im Zusammenhang mit dem Angriff veröffentlicht.