Kürzlich entdeckten Sicherheitsforscher im beliebten WordPress-Plugin MailPoet für komfortables Newsletter-Management eine kritische Lücke. Die Entwickler reagierten prompt und veröffentlichten eine aktualisierte, die Lücke beseitigende, Version; alle vorherigen Versionen waren betroffen. Und die werden jetzt, um eine Hintertür auf dem Web-Server zu installieren, systematisch ausgenutzt.

Beliebige Nutzer konnten durch einen Programmierfehler die eigentlich nur für Admins gedachte Upload-Funktion nutzen und beliebige Dateien hochladen. Dies nutzen die Angreifer, um eine PHP-Datei mit einer Hintertür zu installieren, über die sie den Server dann kontrollieren können. Von manchen Web-Hostern wie 1&1 werden diese Angriffe bereits erkannt und betroffene Kunden informiert. Alle Versionen von MailPoet Plugin vor Version 2.6.7 sind anfällig. In der Nachfolgeversion gab es ebenfalls noch ein Lücke; aktuell ist nun 2.6.9. Wer eine ältere Version einsetzt, sollte das Plugin entfernen oder dieses unverzüglich aktualisieren.

Unter anderem nutzen die Angreifer die Hintertür für den Versand von Spam-Mail. Dazu installieren sie neue PHP-Dateien an verschiedenen Stellen oder manipulieren auch vorhandene mit zusätzlichem PHP-Code. Die Reinigung eines infizierten Systems kann sehr mühselig sein, weil der Code zum Teil heftig verschwurbelt und daher nur schwer aufzuspüren ist. Dabei wird das Datum der Dateien auf einen unverdächtigen Wert gesetzt, so dass man sich nicht daran orientieren kann. Eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen kann ein erster Anhaltspunkt für die weitere Inspektion sein. Für eine zuverlässige Desinfektion wird das jedoch kaum ausreichen.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE