Eine als hochriskante Sicherheitslücke im WordPress-Plugin Elementor Pro wird derzeit von Angreifern missbraucht, um administrativen Zugang zu den WordPress Seiten zu erlangen. Schätzungsweise ist das Plugin auf mehr als 5 Millionen Webseiten installiert. Betroffen sind Webseiten, die die Pro Version sowie zusätzlich Woocommerce einsetzen.
Läuft Elementor Pro in Kombination mit Woocommerce auf der Webseite wird die Komponente „elementor-pro/modules/woocommerce/module.php“ geladen. Diese Komponente lädt einige Ajax-Aktionen – eine davon überprüft Nutzereingaben nicht ausreichend und beschränkt die Aktion nicht auf hochprivilegierte Nutzer. So ließen sich für angemeldete Nutzer ein Administrator-Konto erstellen.
Die Schwachstelle befindet sich in Elementor vor Version 3.11.7.
IoC (Indicators of Compromise)
Sicherheitsforscher haben einige IoCs aufgelistet – also Indizen, die auf einen Angriff hinweisen. Die Angriffe sollen von folgenden IP-Adressen ausgehen:
193.169.194.63
193.169.195.64
194.135.30.6
Angreifer würden laut Angaben folgende Dateien hochladen:
wp-resortpack.zip
wp-rate.php
lll.zip
Was ist zu tun?
Sofern noch nicht geschehen, sollten Sie Elementor Pro direkt aktualisieren. Administratoren sollten die Verzeichnisse der WordPress Installation prüfen, ob die oben genannten Dateien auftauchen.
Was tut SecHosting?
Wir haben direkt nach bekanntwerden der IP-Adressen, von denen die Angriffe aus gestartet wurden, diese global auf allen Systemen für eingehenden Datenverkehr gesperrt.
Ebenso sind alle Webseiten, die durch unseren Wartungs- bzw. Supportvertrag abgedeckt sind, bereits aktualisiert und wurden durch uns auf IoCs geprüft.
Wir empfehlen immer: halten Sie Ihre Webseite auf dem aktuellen Stand. Installieren Sie offene Updates immer zeitnah.
Ihnen ist das zu lästig? Kontaktieren Sie uns gerne, wir bieten Ihnen ein Rundum-Sorglos-Paket für Ihre WordPress Instanz an.