Hacker nutzen kritische Schwachstellen in der populären WordPress Theme-Komponente

Angreifer aktiv eine kritische Verwundbarkeit in einem WordPress Plug-in ausnutzen, das durch eine große Anzahl von Themen benutzt wird, warnten Forscher von zwei Sicherheitsfirmen Mittwoch.

Die Verwundbarkeit beeinflußt Versionen 4.1.4 und älter von Slider Revolution , ein kommerzielles WordPress-Plug-in zum Erstellen von für Mobilgeräte geeigneten Inhaltsanzeige-Schiebereglern. Der Fehler wurde in Slider Revolution 4.2 behoben, das im Februar veröffentlicht wurde, aber einige Themen - Sammlungen von Dateien oder Vorlagen, die das Gesamtbild einer Site bestimmen - bündeln weiterhin unsichere Versionen des Plugins.

Die Sicherheitslücke kann ausgenutzt werden Ein lokaler Dateieinschluss (LFI) Angriff, der Hackern Zugang zu einer WordPress-Website wp-config.php-Datei gibt, Forscher der Web-Sicherheitsfirma Sucuri sagte in einem Blog-Post. Diese sensible Datei enthält Anmeldeinformationen für den Datenbankzugriff, mit denen die gesamte Site kompromittiert werden kann, so die Forscher.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Im Februar ThemePunch, der Entwickler von Slider Revolution In den Versionshinweisen von Version 4.2 wurde erwähnt, dass ein Sicherheitsproblem behoben wurde, aber keine zusätzlichen Details über das Problem oder seine Auswirkungen veröffentlicht wurden.

Informationen über die Sicherheitsanfälligkeit kursierten in Untergrundforen für mehrere Monate, aber am Sept. 1 jemand hat einen Proof-of-Concept-Exploit dafür auf einer öffentlichen Website veröffentlicht, einschließlich einer Liste von WordPress-Themen, die wahrscheinlich betroffen sind, sagten Sicherheitsforscher von Trustwave am Mittwoch in einem Blogbeitrag. "Unsere Web-Honeypots haben heute eine erhöhte Scan-Aktivität erfahren."

Sucuri-Forscher beobachteten auch Versuche, die Schwachstelle auszunutzen. "Allein heute versuchten 64 verschiedene IP-Adressen, diese Sicherheitsanfälligkeit auf mehr als 1.000 verschiedenen Websites in unserer Umgebung auszulösen", sagten sie.

Slider Revolution wird über CodeCanyon.net verkauft, einem Online-Markt für Web-Skripte und andere Komponenten . Das Plug-in wird von normalen Websitebetreibern gekauft, aber auch von WordPress-Theme-Entwicklern, die es dann in ihren Produkten bündeln, um Content-Slider-Funktionalität zu ermöglichen.

Das Problem besteht darin, dass der automatische Aktualisierungsmechanismus von Slider Revolution deaktiviert ist . Benutzer müssen sich dann darauf verlassen, dass Theme-Autoren das Plug-In zusammen mit ihren Designs aktualisieren, was in vielen Fällen nicht geschieht.

"Wir beheben alle Probleme innerhalb von Stunden", ein Vertreter des technischen Supports für Damojo, Köln, Deutschland, das Unternehmen, das ThemePunch besitzt, sagte am Donnerstag per E-Mail. "Wie Sie wissen, ist es wichtig, dass alle Ihre Plugins, WordPress und Server immer mit den neuesten Versionen aktualisiert werden. Unsere direkten Kunden tun dies und können ihr Plugin regelmäßig und automatisch aktualisieren, wenn sie dies wünschen. "

" Das Hauptproblem ist, dass die Autoren des Themas, die den Slider innerhalb ihres Themas gebündelt haben, das Plugin nicht für ihre Kunden aktualisiert haben ", sagte der Damojo-Vertreter . "Der Hinweis 'Security Fix' [in den Release Notes] sollte ein paar Glöckchen haben. Warum haben sie das Plugin seit Februar nicht aktualisiert? "

Die neueste Version von Slider Revolution ist 4.6, veröffentlicht am 25. August, aber diese spezielle Sicherheitslücke betrifft nur ältere Versionen als 4.2.

Der Damojo-Vertreter hat die Benutzer dazu aufgefordert Überprüfen Sie, ob ihre Designs eine anfällige Version des Plug-ins enthalten, und kontaktieren Sie die Autoren des Themas, falls sie dies tun. Fügen Sie hinzu, dass das Unternehmen nicht für die Fehler anderer verantwortlich gemacht werden sollte.

Dieser Vorfall unterstreicht noch einmal die Risiken von Unsicherheit Wiederverwendung von Drittanbieter-Code, ein weit verbreitetes Problem, das alle Arten von Software betrifft, nicht nur Webanwendungen und WordPress-Designs.

Viele Entwickler verwenden Komponenten und Bibliotheken von Drittanbietern in ihren eigenen Softwareprojekten und halten nicht mit ihren Sicherheitsupdates Schritt . Dies kann dazu führen, dass eine Sicherheitslücke in einem Softwarepaket erkannt und behoben wird, aber in anderen Anwendungen für Monate oder Jahre andauert.