Das US-Unternehmen Akaimai kommt in einer aktuellen Studie zu dem Ergebnis, dass sich rund 72 Prozent der Angriffe auf WordPress-Plugins gegen das Plugin TimThumb richten. Innerhalb einer Woche wurden von dem Netzwerkdienstleister in etwa 43.000 Angriffe registriert.
Vor allem auf das Plugin "TimThumb" hatten es die Angreifer im untersuchten Zeitraum abgesehen.
Das kostenlose Plugin generiert Thumbnails von Bilddateien und wird oft zusammen mit WordPress-Themes auf den Server geladen und dort installiert. Eine bisher nicht geschlossene Sicherheitslücke in dem Plugin ist seit 2011 bekannt und wird seit dem konzentriert von Angreifern ausgenutzt. Durch diese Lücke können Hacker ihren eigenen PHP-Code auf den Server einschleusen und dort ausführen.
Das am zweit häufigsten angegriffene WordPress-Plugin ist mit nur 16 % der Flash-Bildbetrachter "myFlash" und mit 7% die medizinische Praxisverwaltung "openEMR". Die restlichen WordPress-Plugins werden nur mit einem Anteil von 1 % oder weniger angegriffen. Insgesamt wurden Angriffe auf 66 unterschiedliche Plugins festgestellt.
Ziel der Angriffe ist es meistens, eine sog. "Remote File Inclusion / RFI" zu erzeugen, um externe PHP-Skripte einschleusen und ausführen zu können. Dabei installieren die Kriminellen meistens eine Remote Shell, über die dann beliebige Befehle auf dem Server ausgeführt werden können. Mit einem Bot sollen dann weitere Webserver infiziert werden.
Wir raten dringend zur Überprüfung Ihrer Wordpress-Installation. Im Bereich "Plugins" können Sie überprüfen, ob die Erweiterung bei Ihnen installiert ist und aktiv verwendet wird. Wir empfehlen zumindest eine Deaktivierung des Plugins bis ein Sicherheitsupdate für die beschriebene Lücke zur Verfügung steht.
Weiter Infos zu Thema erhalten Sie unter:
http://wp-magazin.ch/news/sicherheitsluecke-timthumb-php-script/