Im großen Stil nutzen Kriminelle eine kritische Lücke im WordPress-Addon TimThumb zur Verbreitung von Schadcode, wie der Antivirenhersteller Avast berichtet. Im September hat Avast über 2500 infizierte Sites blockiert und rechnet im Oktober mit ähnlichen Zahlen. Das professionelle Exploit-Framework BlackHole wird von den Angreifern auf den Servern installiert. Künftig versucht das Framework die Besucher des WordPress-Blogs mit Schadcode zu infizieren, indem es verschiedene Sicherheitslücken im Webbrowser und den installierten Plugins durchprobiert.

Avast gab nicht bekannt, welche Lücke in TimThumb die Angreifer ausnutzen. Dabei handelt es sich vermutlich um eine seit drei Monaten bekannte Schwachstelle. Damals wurde die Lücke bereits auch aktiv ausgenutzt. Es kann vermutet werden, dass sich viele Admins der Gefahr noch nicht bewusst sind, da die Angreifer nach wie vor zahlreiche verwundbare WordPress-Installationen finden.

Beispielsweise kann das Addon mit einem Theme auf den Server gelangt sein. Admins sollten daher überprüfen, ob das installierte Theme eine verwundbare TimThumb-Version nutzt. Der Blog sucuri.net liefert eine unvollständige Auflistung betroffener Themes. Die inzwischen verfügbare Version 2.0 des Addons, ist nach Angaben des Mitentwicklers Mark Maunder vor diesen und weiteren Angriffen geschützt ist.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE