Alert!

Massive Angriffe auf Lücke in WordPress-Plug-in Tatsu Builder

Eine Sicherheitslücke im WordPress-Plug-in Tatsu Builder erlaubt Angreifern, Schadcode einzuschleusen. Derzeit werden massive Angriffe darauf beobachtet.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Aufmacher Cyberangriffe auf WordPress-Plug-in Tatsu Builder

(Bild: David MG / Shutterstock.com)

Von
  • Dirk Knop

Die IT-Sicherheitsforscher von Wordfence warnen vor derzeit massiv angegriffenen Sicherheitslücken in dem WordPress-Plug-in Tatsu Builder. Die Schwachstelle in dem Plug-in ermöglicht Angreifern ohne vorherige Anmeldung das Einschmuggeln und Ausführen von Schadcode. Ein Update zum Schließen der Lücke steht bereit.

Die Sicherheitslücke betrifft Tatsu Builder vor der aktuellen Version 3.3.13. Der Entdecker der Schwachstelle, Vincent Michel, beschreibt in seiner Meldung Details und weitere Schwachstellen in dem Plug-in. Die schwerwiegendste erlaubt nicht angemeldeten Angreifern, eine Datei hochzuladen und mittels vorangestelltem "." im Dateinamen vor Prüfungen zu verstecken. Damit konnte er eine PHP-Shell einschleusen und ausführen (CVE-2021-25094, CVSS 8.1, Risiko "hoch").

Die Schätzungen, wie weitverbreitet das Tatsu-Plug-in ist, gehen auseinander. Michel peilt grob in die Richtung, dass 100.000 Installationen das Plug-in nutzen. Wordfence hingegen tippt auf 20.000 bis 50.000 Instanzen. Da das Plug-in nicht auf der WordPress-Seite zu finden ist, die die Installationen zählt, fehlen genauere Daten.

Tatsu hat am 07. April dieses Jahres eine E-Mail an Kunden geschickt und vor der Schwachstelle gewarnt. Die Wordfence-Forscher schätzen jedoch, dass die Aktualisierung noch bei einem Viertel aller Installationen fehlt.

Ab dem 10. Mai hat das Unternehmen massive Angriffe auf diese Schwachstelle gesehen. In der Spitze gingen die Werte am 14. Mai auf 5,9 Millionen Angriffsversuche hoch. Zwar sinkt das Volumen, jedoch dauerten die Cyberangriffe noch immer an. In der Spitze liefen die Attacken gegen 1,4 Millionen Webseiten.

In der Sicherheitsmeldung von Wordfence nennen die Sicherheitsforscher in der Rubrik "Indicators of Compromise" einige Hinweise, wie sich erfolgreiche Angriffe gegen die eigene Installation erkennen lassen. WordPress-Administratoren, die Tatsu Builder einsetzen, sollten umgehend die Version 3.3.13 oder neuer installieren. Die Version 3.3.12 behob schon erste Teile der Schwachstellen, enthält jedoch keinen vollständigen Fix für die gefundenen Sicherheitslücken.

Lesen Sie auch:

Themenseite zu Wordpress auf heise online

(dmk)