Abo
  • Services:
Anzeige
Im Wordpress-Plugin Mailpoet steckt eine gefährliche Sicherheitslücke.
Im Wordpress-Plugin Mailpoet steckt eine gefährliche Sicherheitslücke. (Bild: Wordpress.org/Screenshot: Golem.de)

Angriff über Plugin: Zahlreiche Wordpress-Webseiten wurden kompromittiert

Über das Mailpoet-Plugin wurden anscheinend bereits mehrere Zehntausend Wordpress-Webseiten mit Schadsoftware versehen. Der Angriff funktioniert laut den Entdeckern auch, wenn das Plugin nicht aktiv ist.

Anzeige

Ein recht beliebtes Plugin hat eine folgenschwere Sicherheitslücke, die auf Wordpress basierende Webseiten gefährden kann. Zwar wurde die Sicherheitslücke schon Anfang Juli gestopft, viele Webseitenbetreiber nahmen diese Lücke jedoch nicht ernst oder wussten nichts von ihr. Sucuri berichtet derzeit von laufenden Angriffen auf Webseiten, die das Wordpress-Plugin Mailpoet nutzen. Sucuri selbst hat die Sicherheitslücke entdeckt und die Entwickler rechtzeitig benachrichtigt.

Immerhin fast 2 Millionen Downloads listet Wordpress.org für das Plugin, das unter anderem Newsletter verschicken kann. Entsprechend ist das Schadenspotenzial sehr hoch, denn die Webseiten, die das Plugin einsetzen, bieten den Angreifern zahlreiche Besucher. Das bedeutet allerdings nicht, dass 2 Millionen Webseiten betroffen sind, da viele Nutzer das Plugin hin und wieder aktualisieren und der Download so mehrfach gezählt wird.

Angreifbar sind Plugin-Versionen, die älter als die Version 2.6.7 sind. Allerdings mussten die Entwickler auch mit der Version 2.6.8 eine Sicherheitslücke beseitigen. Wer das Plugin einsetzt, sollte am besten auf die Version 2.6.9 aktualisieren.

Der Angriff selbst läuft anscheinend seit etwas über einer Woche und der Angriffscode offenbarte sich über Fehler im Code. Wer auch immer dahinter steckt, hat zahlreiche Webseiten beim Versuch der Übernahme beschädigt. Dabei muss Mailpoet nicht für die eigene Webseite aktiv sein. Es genügt, wenn eine Nachbarwebseite das Plugin verwendet.

Nach erfolgreicher Infektion haben die Angreifer die volle Kontrolle über die Webseite. Was sie damit anstellen, darüber berichtet Sucuri nicht. Es bietet sich aber beispielsweise an, über die kompromittierten Webseiten Schadsoftware an Besucher zu verteilen und diesen Vorgang etwa über Sicherheitslücken in Browsern oder dem Flashplayer zu vereinfachen. Auch als Plattform für Social-Engineering bieten sich die Webseiten an, die als legitime Links in diversen Spammails auftauchen.


eye home zur Startseite
eskimo 25. Jul 2014

Naheliegend (im doppelten Wordsinn:-) wären Sites, die auf dem gleichen account bzw...



Anzeige

Stellenmarkt
  1. InterCard AG, Taufkirchen bei München
  2. Plunet GmbH, Würzburg
  3. T-Systems International GmbH, Berlin
  4. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe


Anzeige
Spiele-Angebote
  1. 24,96€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Tipps für IT-Engagement in Fernost


  1. Smach Z ausprobiert

    So wird das nichts

  2. Parrot Disco

    Schnelle Flugzeugdrohne mit Brillen-Bildübertragung

  3. Marsrover

    China veröffentlicht Pläne für eigenen Marsrover

  4. Android 7.0

    Google verteilt erste Factory-Images, Sony nennt Update-Plan

  5. Denza 400

    Chinesische Mercedes-B-Klasse fährt 400 km elektrisch

  6. Microsoft

    Office für Mac 2016 auf 64 Bit aufgerüstet

  7. Warenzustellung

    Schweizer Post testet autonome Lieferroboter

  8. Playstation auf Windows

    PC-Offensive von Sony

  9. Mongoose

    Samsung erklärt M1-Kerne des Galaxy S7 und Note 7

  10. Summit Ridge

    Das kann AMDs CPU-Architektur Zen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gear IconX im Test: Anderthalb Stunden Trainingsspaß
Gear IconX im Test
Anderthalb Stunden Trainingsspaß
  1. Samsung Display des Galaxy Note 7 ist offenbar nicht kratzfest
  2. PM1643 & PM1735 Samsung zeigt V-NAND v4 und drei Rekord-SSDs
  3. April, April? Samsung schummelt Apple Watch in eigenen Patentantrag

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Komisch... Sony Z3 (ohne +)?

    forfrossen | 10:13

  2. Re: Firmenpolitik?

    PiranhA | 10:13

  3. Also doch eine nützliche Sache

    Friko44 | 10:13

  4. Re: Selbst Steam in-house Streaming hat Lag

    most | 10:12

  5. Re: $86.64 Versandkosten nach Deutschland

    pixl | 10:11


  1. 10:00

  2. 09:45

  3. 09:14

  4. 09:06

  5. 08:28

  6. 07:59

  7. 07:50

  8. 07:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel