May 8, 2023
Elementor WordPress / Schwachstellen / Hacker
Hacker hatten Zugriff zur WordPress Website
Am 6. Mai 2023 wurde eine große Schwachstelle im Elementor Pro entdeckt, einem WordPress-Plug-in, das auf ungefähr 1 Million Websites verwendet wird. Diese Schwachstelle wurde in Kombination mit einer weiteren Sicherheitslücke im Ultimate Add-ons for Elementor ausgenutzt, einem WordPress-Plug-in, das auf ungefähr 110.000 Websites installiert ist.
Elementor hat sofort am selben Tag, an dem eine Benachrichtigung veröffentlicht wurde, ein Update für Elementor Pro herausgegeben. In unserem aktuellen Blogbeitrag erläutern wir die technischen Einzelheiten der beiden Schwachstellen und wie sie gemeinsam ausgenutzt wurden, um WordPress-Websites, die diese Plug-ins verwenden, zu kompromittieren.
Wir empfehlen allen Website-Besitzern dringend, die neuesten Versionen dieser Plug-ins zu installieren. Die entsprechenden Versionen sind für Elementor Pro die Version 2.9.4 und für Ultimate Add-ons for Elementor die Version 1.24.2.
Das Einfallstor
Ultimate Add-ons für Elementor die Version 1.24.2. Das Plug-in "Ultimate Add-ons für Elementor" stammt von Brainstorm Force und erweitert die Funktionen von Elementor um zahlreiche zusätzliche Widgets. Eines dieser Widgets ermöglicht es, ein Registrierungsformular namens "User Registration Form" auf jeder Seite einzufügen. Das Formular ist einfach anpassbar und kann an beliebiger Stelle auf der Website platziert werden. Leider gab es ein Problem in der Funktionsweise dieses Formulars, das es Nutzern erlaubte, sich trotz der Deaktivierung der Registrierung und der Nichtverwendung des Widgets auf der Seite zu registrieren. Ein Blick auf die Funktion get_form_data zeigt, dass sie dazu dient, die im Registrierungsformular eingegebenen Informationen abzurufen. Diese Daten wurden dann verwendet, um mit dem WordPress-Hook wp_insert_user einen neuen Benutzer auf der Website zu erstellen. Nirgendwo in der Funktion wurde überprüft, ob die Benutzerregistrierung auf der Website aktiviert war, und es wurden auch keine alternativen Überprüfungen durchgeführt, um zu überprüfen, ob das Registrierungsformular-Widget aktiv war.
Worauf ist zu achten?
Wenn ein Plugin die Option zum Hochladen von Dateien unabhängig vom Dateityp anbietet, sollten geeignete Vorkehrungen getroffen werden, um zu verhindern, dass unbefugte Benutzer Dateien hochladen oder die auf der Website eingerichteten Dateifilter oder -rechte umgehen können. Bedauerlicherweise bot die Upload-Funktion für benutzerdefinierte Symbole in Elementor Pro keine geeigneten Maßnahmen. Die Angreifer fanden jedoch einen effektiven Weg, um die Einschränkungen bezüglich der hochladbaren Dateitypen zu umgehen und konnten nach der Authentifizierung PHP-Dateien wie Webshells und Backdoors hochladen. Jeder Inhaber und Betreiber einer WordPress Website sollte also stets darauf achten, dass er immer regelmäßig alle Updates durchführt, am besten wöchentlich, um solche Schwachstellen im System zeitnah zu schließen. Da jede WordPress Website immer andere Plug-ins benötigt, ist es natürlich für den Laien schwer vorauszusehen, wo genau welche Gefahrenquellen lauern. Erfahrene Webdesigner und Programmierer übernehmen in diesem Zuge auch eine optionale Wartung der neu erstellten Website (gegen eine monatliche Wartungspauschale) damit die neu erstellte Website lange und fehlerfrei laufen kann. Nichts ist ärgerlicher und im Nachgang auch teurer einen durch Hacker verursachten Schaden durch dann beauftragte Entwickler beheben zu lassen. Oftmals greifen dann teure Stundensätze oder gar Wochenendzuschläge (sollte es am Wochenende zu einem Ausfall kommen). Dann sind schnell drei bis vierstellige Rechnungsbeträge erreicht. Unser Tipp: Nicht am falschen Ende sparen und einen monatlichen Wartungsservice mit dazu buchen. Mittelfristig macht sich somit ein Wartungsservice schnell bezahlt.
Hacker hatten Zugriff zur WordPress Website
Am 6. Mai 2023 wurde eine große Schwachstelle im Elementor Pro entdeckt, einem WordPress-Plug-in, das auf ungefähr 1 Million Websites verwendet wird. Diese Schwachstelle wurde in Kombination mit einer weiteren Sicherheitslücke im Ultimate Add-ons for Elementor ausgenutzt, einem WordPress-Plug-in, das auf ungefähr 110.000 Websites installiert ist.
Elementor hat sofort am selben Tag, an dem eine Benachrichtigung veröffentlicht wurde, ein Update für Elementor Pro herausgegeben. In unserem aktuellen Blogbeitrag erläutern wir die technischen Einzelheiten der beiden Schwachstellen und wie sie gemeinsam ausgenutzt wurden, um WordPress-Websites, die diese Plug-ins verwenden, zu kompromittieren.
Wir empfehlen allen Website-Besitzern dringend, die neuesten Versionen dieser Plug-ins zu installieren. Die entsprechenden Versionen sind für Elementor Pro die Version 2.9.4 und für Ultimate Add-ons for Elementor die Version 1.24.2.
Das Einfallstor
Ultimate Add-ons für Elementor die Version 1.24.2. Das Plug-in "Ultimate Add-ons für Elementor" stammt von Brainstorm Force und erweitert die Funktionen von Elementor um zahlreiche zusätzliche Widgets. Eines dieser Widgets ermöglicht es, ein Registrierungsformular namens "User Registration Form" auf jeder Seite einzufügen. Das Formular ist einfach anpassbar und kann an beliebiger Stelle auf der Website platziert werden. Leider gab es ein Problem in der Funktionsweise dieses Formulars, das es Nutzern erlaubte, sich trotz der Deaktivierung der Registrierung und der Nichtverwendung des Widgets auf der Seite zu registrieren. Ein Blick auf die Funktion get_form_data zeigt, dass sie dazu dient, die im Registrierungsformular eingegebenen Informationen abzurufen. Diese Daten wurden dann verwendet, um mit dem WordPress-Hook wp_insert_user einen neuen Benutzer auf der Website zu erstellen. Nirgendwo in der Funktion wurde überprüft, ob die Benutzerregistrierung auf der Website aktiviert war, und es wurden auch keine alternativen Überprüfungen durchgeführt, um zu überprüfen, ob das Registrierungsformular-Widget aktiv war.
Worauf ist zu achten?
Wenn ein Plugin die Option zum Hochladen von Dateien unabhängig vom Dateityp anbietet, sollten geeignete Vorkehrungen getroffen werden, um zu verhindern, dass unbefugte Benutzer Dateien hochladen oder die auf der Website eingerichteten Dateifilter oder -rechte umgehen können. Bedauerlicherweise bot die Upload-Funktion für benutzerdefinierte Symbole in Elementor Pro keine geeigneten Maßnahmen. Die Angreifer fanden jedoch einen effektiven Weg, um die Einschränkungen bezüglich der hochladbaren Dateitypen zu umgehen und konnten nach der Authentifizierung PHP-Dateien wie Webshells und Backdoors hochladen. Jeder Inhaber und Betreiber einer WordPress Website sollte also stets darauf achten, dass er immer regelmäßig alle Updates durchführt, am besten wöchentlich, um solche Schwachstellen im System zeitnah zu schließen. Da jede WordPress Website immer andere Plug-ins benötigt, ist es natürlich für den Laien schwer vorauszusehen, wo genau welche Gefahrenquellen lauern. Erfahrene Webdesigner und Programmierer übernehmen in diesem Zuge auch eine optionale Wartung der neu erstellten Website (gegen eine monatliche Wartungspauschale) damit die neu erstellte Website lange und fehlerfrei laufen kann. Nichts ist ärgerlicher und im Nachgang auch teurer einen durch Hacker verursachten Schaden durch dann beauftragte Entwickler beheben zu lassen. Oftmals greifen dann teure Stundensätze oder gar Wochenendzuschläge (sollte es am Wochenende zu einem Ausfall kommen). Dann sind schnell drei bis vierstellige Rechnungsbeträge erreicht. Unser Tipp: Nicht am falschen Ende sparen und einen monatlichen Wartungsservice mit dazu buchen. Mittelfristig macht sich somit ein Wartungsservice schnell bezahlt.
Zurück
Berlin
Pilzen
Pilzen
Tel.: 0172 - 20 14 9 14
hallo@nexxxdesign.eu
Copyright © 2023 nexXxdesign.
Copyright © 2023 nexXxdesign.
Copyright © 2023 nexXxdesign.