Tausende WordPress-Blogs zur Verbreitung von Schadcode genutzt

Kriminelle nutzen eine kritische Lücke im WordPress-Addon TimThumb im großen Stil zur Verbreitung von Schadcode, wie der Antivirenhersteller Avast berichtet (PDF). Avast hat im September über 2500 infizierte Sites blockiert und rechnet im Oktober mit ähnlichen Zahlen. Die Angreifer installieren das professionelle Exploit-Framework BlackHole auf den Servern. Das Framework versucht die Besucher des WordPress-Blogs künftig mit Schadcode zu infizieren, indem es verschiedene Sicherheitslücken im Webbrowser und den installierten Plugins durchprobiert.

Welche Lücke in TimThumb die Angreifer ausnutzen, gab Avast nicht bekannt. Vermutlich handelt es sich dabei um eine seit drei Monaten bekannte Schwachstelle. Auch damals wurde die Lücke bereits aktiv ausgenutzt; sogar einer der Entwickler war betroffen. Da die Angreifer nach wie vor zahlreiche verwundbare WordPress-Installationen finden, kann vermutet werden, dass sich viele Admins der Gefahr noch nicht bewusst sind. Etwa, weil sie gar nicht wissen, dass sie das verwundbare Script auf dem Server installiert haben.

Das Addon kann beispielsweise Huckepack mit einem Theme auf den Server gelangt sein – einige Themes setzen TimThumb zur Größenänderung von Bildern ein. Admins sollten daher überprüfen, ob das installierte Theme eine verwundbare TimThumb-Version nutzt. Eine unvollständige Auflistung betroffener Themes liefert der Blog sucuri.net. Inzwischen ist Version 2.0 des Addons verfügbar, das nach Angaben des Mitentwicklers Mark Maunder vor diesen und weiteren Angriffen geschützt ist. (rei)