Übersicht

News: Am 6. Mai erhielt Wordfence im Threat Intelligence-Team Berichte über die aktive Ausnutzung von Sicherheitslücken in 2 zusammenhägenden Plugins. Dies betrifft Elementor Pro und Ultimate Addons für Elementor. Sie haben Protokolldateien gefährdeter Websites überprüft und diese Aktivität bestätigt.

Da dies ein aktiver Angriff ist, benachrichtigen Sie uns hiermit, wie wir unsere Websites mit den genannten Plugins weiterhin schützen können. Sie beschränken die Menge an Informationen absichtlich, da es ein fortlaufender Angriff ist und noch nicht klar ist wie kritisch die Sicherheitslücke wirklich ist.

Es wurden Firewall-Regeln veröffentlicht, welche Wordfence Premium-Benutzer von der Ausnutzung der Sicherheitslücke schützt. Benutzer, welche die kostenlose Version nutzen, werden nach 30 Tagen also ab dem 5. Juni 2020, von dieser Sicherheitslücke geschützt.

news

Welche Plugins sind von diesem Angriff betroffen?

Von dieser Sicherheitslücke sind nur zwei Plugins betroffen. Elementor Pro, welches von Elementor hergestellt wird. Dieses Plugin weist eine Zero-Day-Sicherheitslücke auf, die ausgenutzt werden kann, wenn sich jeder Benutzer Registrieren kann.

Zusatz: Ab dem 7. Mai 2020, 16:22 Uhr UTC hat Elementor die Version 2.9.4 von Elementor Pro veröffentlicht. Das Bedrohungs-Intelligence-Team hat dies sofort überprüft ob die Sicherheitslücke behoben wurde. Es wird empfohlen sofort die Version zu aktualisieren.

Das zweite betroffene Plugin ist Ultimate Addons für Elementor, welches von Brainstorm Force programmiert wurde. Durch die Sicherheitslücke in diesem Plugin kann die Sicherheitslücke in Elementor Pro ausgenutzt werden, auch wenn keine Benutzerregistrierung aktiviert ist.

Wordfence schätzt, dass Elementor Pro auf über 1 Million Websites installiert ist und das Ultimate Addon bei ungefähr 110’000 Websites installiert ist.

Elementor Pro

Beschreibung: Authentifizierter beliebiger Datei-Upload
Betroffenes Plugin: Elementor Pro
Plugin Slug: Elementor -Pro
Betroffene Versionen: <= 2.9.3
CVE-ID: Aktuell nicht vorhanden
CVSS-Punktezahl: 9,9 (Kritisch)
CVSS-Vektor: CVSS: 3,0 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
Vollständig gepatchte Version: 2.9.4

Dies hat keine Auswirkungen auf das kostenlose Elementor-Plugin mit über 4 Millionen Installationen, welche im WordPress-Plugin-Repository verfügbar ist. Das Elementor Pro-Plugin ist ein separater Download, welcher auf der Elementor.com-Website verfügbar ist. Wordfence schätzt, dass Elementor Pro über 1 Million aktive Installationen hat.

Die Sicherheitslücke in Elementor Pro, wird mit Schweregrad «kritisch» eingestuft, da sie registrierten Benutzer das Hochladen beliebiger Dateien erlaubt, welche zu einer Remotecodeausführung führen können. Dies ist eine Zero-Day-Sicherheitslücke.

Wordfance hatte bereits die Information erhalten, dass Hinweise bestanden, dass das Elementor-Team an einem Patch arbeitet. Sie hatten Elementor kontaktiert um vor der Veröffentlichung eine sofortige Prüfung unterziehen zu können.

Ultimative Addons für Elementor

Beschreibung: Bypass bei der Registrierung
Betroffenes Plugin: Ultimative Addons für Elementor
Plugin Slug: ultimate-Elementor
Betroffene Versionen: <= 1.24.1
CVE-ID: Aktuell keine vorhanden
CVSS-Punktezahl: 7,2 (hoch)
CVSS-Vektor: CVSS: 3,0 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
Vollständig gepatchte Version: 1.24.2

Das Ultimate Addon für Elementor-Plugin hat kürzlich ein Sicherheitspatch in Version 1.24.2 erhalten, welches die Lücke behoben hat. Vorher konnte der Angreifer auf Abonnentenebene Benutzer erstellen, selbst wenn die Registrierung auf einer WordPress-Site deaktiviert war.

Zwei Sicherheitslücken werden gemeinsam verwendet, um Websites anzugreifen

Angreifer können die Zero-Day-Sicherheitslücke in Elementor Pro direkt auf Websites mit offener Benutzerregistrierung ausnutzen.

Ist die Benutzerregistrierung nicht aktiviert, verwenden Angreifer die Sicherheitslücke in Ultimate Addon für Elementor bei nicht aktualisierten Seiten um sich als Abonnent zu registrieren. Anschliessend verwenden sie die neuen Konten, um die Zero-Day-Sicherheitslücke von Elementor Pro auszunutzen und einen Remotecode auszufüren.

Was du machen solltest

Solltest du Wordfence Premium verwenden, hat deine Website eine Firewall-Regel erhalten um dich vor diesem Angriff zu schützen.

Es gibt jedoch viele Websitebesitzer, welche Wordfence Premium nicht verwenden um die Website zu schützen.

Nun sollte Ultimate Addon für Elementor sofort Aktualisiert werden. Es sollte sichergestellt werden, dass Ultimate Addon für Eelmentor Version 1.24.2 oder höher installiert ist.

Tipp: Wenn du mehrere Websites hast un nicht mehr genau weisst, wo du Elementor Pro überall im Einsatz hast, kannst du dich in deinem Elementor.com-Konto anmelden und unter «Käufe» und dann «Websites anzeigen» eine vollständige Liste anzeigen lassen, welche dir Elementor Pro mit der entsprechenden Lizenz anzeigt.

Suche nach unbekannten Benutzern auf Abonnentenebene. Dies kann darauf hinweisen, dass deine Website im Rahmen dieser Sicherheitslücke bereits angegriffen wurde. Sollte eines vorhanden sein, entferne dieses Konto sofort.

Suche nach der Datei mit Namen «wp-xmlrpc.php». Diese kann einen Hinweis auf einen angriff sein. Überprüfe daher den Inhalt dieser Datei. Wenn du Wordfence installiert hast, erhälst du bei einer Überprüfung einen Malware Hinweis.

Lösche alle unbekannten Dateien oder Ordner im Verzeichnis / wp-content / uploads / elementor / custom-icons. Dateien, welche sich hier befinden, nachdem das Konto auf Abonnentenebene erstellt wurde, sind klare Hinweise, dass die Website bereits angegriffen wurde.

Wenn du eine Infektion deiner Website feststellst, kannst du Wordfence benutzen um die Website zu bereinigen. Der Link hilft weiter. Du kannst auch eine professionelle Entfernung durch das Wordfence Team durchführen lassen.


Quelle: Wordfence Blog

Tags

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.