In der vergangenen Woche wurde die Fachwelt durch einen Blogbeitrag der Sicherheitsfirma Wordfence auf einen Fall von Supply Chain Attack aufmerksam, der Kreise zog: Einige WordPress-Plugins verbreiteten ohne das Wissen des Seitenbetreibers Spam – und das schon seit viereinhalb Jahren.
Die Story wurde im Blog von Wordfence veröffentlicht und umfasst schon mehrere Einzelartikel.
Zunächst geriet das Display Widget in das Zentrum der Aufmerksamkeit (Heise Artikel). Wer es einsetzt, sollte es entfernen, denn dieses Plugin verfügt über eine versteckte Hintertür, mit dem sich derjenige, der weiß wie, jederzeit ungestört mit der WordPress-Installation verbinden kann.
Inzwischen ist das Plugin aus dem offiziellen Repository entfernt.
Nun nennt Wordfence auch den Namen desjenigen, dem die Backdoor zugute kam. IP-Adressen und Kampagneneigenschaften deuten auf eine einzelne Person hin.
Mittels der Backdoor gelang es, Werbung einzublenden, zum Beispiel für kurzfristige Kredit oder Datingsites, ohne dass der Seitenbetreiber davon Kenntnis hatte.
Offensichtlich handelte es sich um Angebote, die vorrangig auf Kunden in Groß Britannien abzielten.
Nun wurde bekannt, dass acht weitere Plugins ähnliche verdeckte Werbeeinblendungen ermöglichten. Diese wurden entweder von WordPress aus dem Repository entfernt oder die Entwickler haben diese kurzfristig nachbearbeitet.
Angriffe dieser Art werden als Supply Chain Attack bezeichnet.
Fazit
Solltest du eines der folgenden Plugins einsetzen, überprüfe bitte, ob ein Update vorliegt oder ob dieses Plugin entfernt werden sollte: „404 to 301“ (Update verfügbar), „Display Widgets Plugin“ (wird nicht mehr gepflegt), „WP Slimstat“ (Update verfügbar), „WP Maintenance Mode“ (Update verfügbar), „Menu Image“ (Update verfügbar), „NewStatPress“ (Update verfügbar), „Financial Calculator Plugin“ (Update verfügbar), „Weptile Image“ (entfernen), „No Comment“ (entfernen).