Thought Leadership
Angreifer haben den Update-Server des WordPress-Anbieters BuddyBoss kompromittiert und Schadcode in offizielle Updates eingeschleust.
BuddyBoss vertreibt populäre Premium-Werkzeuge für WordPress-basierte Lernplattformen und Community-Websites. Nach Angaben des Unternehmens ist die Software auf mehr als 27.000 Servern aktiv.
Den Forschern von Cybernews zufolge gelangten die Angreifer an einen privaten Schlüssel, der Schreibzugriff auf den BuddyBoss-Update-Server ermöglichte. Damit veröffentlichten sie manipulierte Versionen von Plugin und Theme, die beim regulären Update-Prozess auf die Zielserver übertragen wurden. Die infizierten Installationen senden anschließend Zugangsdaten und Datenbankinhalte an einen Angreifer-Server und öffnen eine Fernzugriffsmöglichkeit.
Zum Zeitpunkt der Veröffentlichung waren laut Cybernews bereits mehr als 300 Websites betroffen. Unter den abgegriffenen Daten befanden sich auch aktive API-Schlüssel eines Zahlungsdienstleisters: „Tausende von Websites sind von einer vollständigen Kompromittierung bedroht. Dieser Angriff ermöglicht es Angreifern, bösartigen Code in offizielle Plugin- und Theme-Updates einzuschleusen, die an aktive WordPress-Websites verteilt werden“, sagen die Forscher.
KI als Werkzeug der Angreifer
Auf dem exponierten Server fanden die Forscher neben Logs und Datenbankdumps auch einen exportierten Gesprächsverlauf mit Anthropics Sprachmodell Claude. Daraus geht hervor, dass die Angreifer das Modell für wesentliche Teile der Angriffsentwicklung nutzten, von der Erstellung des Schadcodes bis zur Veröffentlichung auf dem Update-Server. Wie genau sie das Modell dazu brachten mitzuwirken, ist nicht abschließend geklärt. Die Forscher gehen von einer Umgehungsmethode aus.
Die Transkripte waren auf Französisch verfasst. Weitere Hinweise auf die Identität der Täter liegen nicht vor.
Das strukturelle Problem
Dieser Vorfall illustriert ein bekanntes Dilemma: Wer Updates konsequent und schnell einspielt, schützt sich vor bekannten Schwachstellen, macht sich aber gleichzeitig anfällig für kompromittierte Lieferketten. Einige Unternehmen reagieren darauf mit einer bewussten Verzögerungsstrategie und installieren neue Versionen erst, wenn diese sich eine Weile im Betrieb bewährt haben.
Was jetzt zu tun ist
Wer BuddyBoss Platform oder BuddyBoss Theme betreibt, laut Cybernews automatische Updates vorerst abschalten und gegebenenfalls auf einen Stand vor den Versionen 2.20.3 beziehungsweise 2.19.2 zurückgehen. Alle auf dem Server gespeicherten Zugangsdaten und Tokens sollten als potenziell kompromittiert betrachtet und erneuert werden. Außerdem empfiehlt sich eine Prüfung der Server-Logs auf ungewöhnliche Aktivitäten.
Cybernews hat BuddyBoss informiert. Eine offizielle Stellungnahme des Unternehmens steht noch aus.
