Gezielte Suche nach Schwachstellen

Globale Angriffswelle auf WordPress und Joomla

Sicherheit, WordPress, Oktober
Quelle: Primakov / Shutterstock.com

Das australische Cybersicherheitszentrum ACSC warnt vor einer globalen Kampagne, bei der Angreifer Webshells über Sicherheitslücken in CMS-Systemen einschleusen.

Das australische Cybersicherheitszentrum ACSC hat eine Warnung vor einer weltweiten Kampagne herausgegeben, die sich gegen Internetseiten auf Basis bekannter Content-Management-Systeme wie WordPress richtet. Cyberkriminelle suchen gezielt nach Schwachstellen in CMS-Software und deren Erweiterungen, um Schadcode in Form von Webshells auf den Webservern zu platzieren. Die Sicherheitsbehörde beschreibt das Vorgehen in ihrer Mitteilung:

Anzeige

„Als Teil dieser Kampagne scannen böswillige Cyberakteure aktiv Websites nach Möglichkeiten zur Bereitstellung von Webshells und nutzen dabei verschiedene Schwachstellen aus, die CMS-Software und -Plugins betreffen. Diese Schwachstellen ermöglichen in erster Linie unauthentifiziertes Hochladen von Dateien, Remote-Code-Ausführung, serverseitige Anforderungsfälschung oder Deserialisierung.“

Cybersicherheitszentrum ACSC

Anzeige

Sobald eine Webshell erfolgreich installiert wurde, erhalten die Angreifer administrativen Fernzugriff. Dadurch können sie Webseiten manipulieren, sensible Kundendaten stehlen, Schadsoftware verbreiten oder tiefer in das interne Netzwerk von Unternehmen eindringen.

Betroffene Systeme und internationale Reichweite

Die Angriffe beschränken sich nicht auf ein einzelnes System, sondern betreffen eine Vielzahl weit verbreiteter Plattformen. Neben den Marktführern WordPress und Joomla, bei dem speziell die Erweiterung Joomla Content Editor im Fokus steht, werden auch Schwachstellen in Craft CMS, MaxSite CMS und MetInfo CMS ausgenutzt. Zudem verzeichnen Analysten Angriffe auf eine dokumentierte Schwachstelle im Sneeit Framework.

In Australien haben bereits zahlreiche kleine und mittlere Unternehmen Schäden durch die Kompromittierung ihrer Webauftritte gemeldet. Das ACSC betont, dass es sich um eine globale Kampagne handelt, die Organisationen weltweit betrifft und die Reaktionszeiten für IT-Abteilungen nach dem Bekanntwerden neuer Sicherheitslücken drastisch verkürzt.

Empfohlene Schutzmaßnahmen für Webseitenbetreiber von WordPress

Zur Abwehr und Erkennung von Kompromittierungen empfiehlt die Cybersicherheitsbehörde eine Reihe technischer Sofortmaßnahmen. Betreiber sollten folgende Schritte umsetzen:

  • Kontinuierliche Überprüfung der Netzwerk- und Zugriffsprotokolle auf ungewöhnliche Aktivitäten
  • Kontrolle aller existierenden Benutzerkonten auf unberechtigte Neuanlagen
  • Umgehendes Einspielen von Sicherheitsupdates für das CMS sowie alle installierten Plugins
  • Einschränkung der Rechte zur Dateierstellung auf dem Webserver
  • Implementierung einer strikten Netzwerksegmentierung

Sollten IT-Verantwortliche Hinweise auf einen erfolgreichen Einbruch finden, wird das Einspielen eines sauberen, vor dem Vorfall erstellten Backups empfohlen. Die Notwendigkeit schneller Reaktionen wird auch von internationalen Geheimdiensten gestützt, die vor dem Einsatz künstlicher Intelligenz durch Angreifer zur Beschleunigung solcher Operationen warnen: „Cyber-Resilienz ist kein IT-Problem: Sie ist von zentraler Bedeutung für die Betriebskontinuität und das Marktvertrauen. Führungskräfte, die jetzt handeln, werden das Risiko verringern, die Resilienz stärken und Vertrauen bei Kunden, Partnern und Investoren aufbauen. Diejenigen, die zögern, werden mit wachsenden und vermeidbaren Risiken konfrontiert sein.“

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.