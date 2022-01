Bei der Untersuchung einer kompromittierten Webseite stießen Analysten der IT-Sicherheitsfirma Jetpack auf Hintertüren, die Cyberkriminelle bei einem Einbruch in die Server von AcessPress in dessen Plug-ins und Themes eingebaut haben.

Damit könnten die Angreifer sich Vollzugriff auf WordPress-Instanzen verschaffen. Nutzer von Themes oder Plug-ins des Anbieters sollten ihr WordPress unbedingt auf bestimmte Modifikationen untersuchen und das Theme aktualisieren oder auf das eines anderen Anbieters umstellen.

Nur beim Anbieter infiziert

Im Laufe der weiteren Analyse haben die Sicherheitsforscher in allen Themes und Plug-ins von AccessPress den verdächtigen Code gefunden – jedoch nur, wenn sie von der Webseite des Anbieters heruntergeladen wurden. Die im Wordpress.org-Repository hinterlegten Erweiterungen des Anbieters waren hingegen sauber.

Bei dem eingeschleusten Schadcode handelt es sich um einen Dropper für eine Webshell, die den Angreifern Vollzugriff auf das WordPress erlaubt. Der Einbruch habe im September 2021 stattgefunden; Manipulationen an den Themes und Plug-ins erfolgten an mehreren Tagen des Monats. Wer also seit September 2021 eine Aktualisierung oder Installation der AccessPress-Erweiterungen von deren Webseite vorgenommen hat, hat sich damit wahrscheinlich die Hintertür eingefangen.

Zahlreiche Themes und Plug-ins betroffen

In Jetpacks Sicherheitsmeldung listen die Forscher zahlreiche Plug-ins und Themes in Tabellen auf, die den Schadcode enthielten. Da AccessPress auch bezahlte Erweiterungen anbietet, die JetPack nicht überprüft hat, sind sehr wahrscheinlich alle auf der Webseite angebotenen Erweiterungen betroffen, nicht nur die aufgelisteten.

AccessPress hat die Erweiterungen von der Webseite zunächst entfernt und stückweise aktualisierte, bereinigte Plug-ins und Themes bereitgestellt. Bei den Themes blieb die Versionsnummer gleich, das Veröffentlichungsdatum nach dem 20. Januar 2022 weist jedoch auf die bereinigte Version. Im WordPress-Repository wurden die Themes entfernt, die Updates gibt es dort derzeit nicht.

Betroffene WordPress-Instanzen bereinigen

Sofern Nutzer der AccessPress-Themes diese nicht aus den WordPress-Repositories installiert haben, sollten sie das eingesetzte Theme aktualisieren oder entfernen und durch ein Theme von einem anderen Anbieter ersetzen. Sie sollten zudem die aktualisierten Plug-ins installieren.

Weiterhin sollten Administratoren nach Modifikationen im WordPress suchen, die Jetpack unter den Details der Sicherheitsmeldung nennt, um etwa eine installierte Hintertür aufzuspüren. Um etwaige Änderungen an den Kerndateien von WordPress zu entfernen, empfiehlt Jetpack weiter, die eine saubere Version von Wordpress überzuinstallieren.

(dmk)