Das australische Cybersicherheitszentrum ACSC warnt vor einer globalen Kampagne, bei der Angreifer Webshells über Sicherheitslücken in CMS-Systemen einschleusen.
Das australische Cybersicherheitszentrum ACSC hat eine Warnung vor einer weltweiten Kampagne herausgegeben, die sich gegen Internetseiten auf Basis bekannter Content-Management-Systeme wie WordPress richtet. Cyberkriminelle suchen gezielt nach Schwachstellen in CMS-Software und deren Erweiterungen, um Schadcode in Form von Webshells auf den Webservern zu platzieren. Die Sicherheitsbehörde beschreibt das Vorgehen in ihrer Mitteilung:
„Als Teil dieser Kampagne scannen böswillige Cyberakteure aktiv Websites nach Möglichkeiten zur Bereitstellung von Webshells und nutzen dabei verschiedene Schwachstellen aus, die CMS-Software und -Plugins betreffen. Diese Schwachstellen ermöglichen in erster Linie unauthentifiziertes Hochladen von Dateien, Remote-Code-Ausführung, serverseitige Anforderungsfälschung oder Deserialisierung.“
Cybersicherheitszentrum ACSC
Sobald eine Webshell erfolgreich installiert wurde, erhalten die Angreifer administrativen Fernzugriff. Dadurch können sie Webseiten manipulieren, sensible Kundendaten stehlen, Schadsoftware verbreiten oder tiefer in das interne Netzwerk von Unternehmen eindringen.
Betroffene Systeme und internationale Reichweite
Die Angriffe beschränken sich nicht auf ein einzelnes System, sondern betreffen eine Vielzahl weit verbreiteter Plattformen. Neben den Marktführern WordPress und Joomla, bei dem speziell die Erweiterung Joomla Content Editor im Fokus steht, werden auch Schwachstellen in Craft CMS, MaxSite CMS und MetInfo CMS ausgenutzt. Zudem verzeichnen Analysten Angriffe auf eine dokumentierte Schwachstelle im Sneeit Framework.
In Australien haben bereits zahlreiche kleine und mittlere Unternehmen Schäden durch die Kompromittierung ihrer Webauftritte gemeldet. Das ACSC betont, dass es sich um eine globale Kampagne handelt, die Organisationen weltweit betrifft und die Reaktionszeiten für IT-Abteilungen nach dem Bekanntwerden neuer Sicherheitslücken drastisch verkürzt.
Empfohlene Schutzmaßnahmen für Webseitenbetreiber von WordPress
Zur Abwehr und Erkennung von Kompromittierungen empfiehlt die Cybersicherheitsbehörde eine Reihe technischer Sofortmaßnahmen. Betreiber sollten folgende Schritte umsetzen:
- Kontinuierliche Überprüfung der Netzwerk- und Zugriffsprotokolle auf ungewöhnliche Aktivitäten
- Kontrolle aller existierenden Benutzerkonten auf unberechtigte Neuanlagen
- Umgehendes Einspielen von Sicherheitsupdates für das CMS sowie alle installierten Plugins
- Einschränkung der Rechte zur Dateierstellung auf dem Webserver
- Implementierung einer strikten Netzwerksegmentierung
Sollten IT-Verantwortliche Hinweise auf einen erfolgreichen Einbruch finden, wird das Einspielen eines sauberen, vor dem Vorfall erstellten Backups empfohlen. Die Notwendigkeit schneller Reaktionen wird auch von internationalen Geheimdiensten gestützt, die vor dem Einsatz künstlicher Intelligenz durch Angreifer zur Beschleunigung solcher Operationen warnen: „Cyber-Resilienz ist kein IT-Problem: Sie ist von zentraler Bedeutung für die Betriebskontinuität und das Marktvertrauen. Führungskräfte, die jetzt handeln, werden das Risiko verringern, die Resilienz stärken und Vertrauen bei Kunden, Partnern und Investoren aufbauen. Diejenigen, die zögern, werden mit wachsenden und vermeidbaren Risiken konfrontiert sein.“
(red)