WPGateway: Via Sicherheitslücke zum WordPress-Admin

Über eine Schwachstelle im WordPress-Plug-in WPGateway können AngreiferInnen Adminrechte erlangen und die entsprechenden WordPress-Websites attackieren. Sicherheitsupdates sind noch nicht verfügbar.

WordPress-AdministratorInnen, die zur Verwaltung ihrer Websites das Plug-in WPGateway nutzen, sollten es aus Sicherheitsgründen temporär deaktivieren. Die kürzlich entdeckte, kritische Sicherheitslücke CVE-2022-3180 wird von HackerInnen bereits aktiv ausgenutzt. Wann ein Sicherheitspatch Patch erscheinen soll, ist noch nicht bekannt.

Schwachstelle ist ohne Authentifizierung ausnutzbar

Aufgedeckt wurde die Schwachstelle durch die SicherheitsforscherInnen von Wordfence. In ihrem Bericht geben sie kaum Details bekannt, um keine zusätzlichen Angriffe zu provozieren. Bekannt ist jedoch, dass die Lücke wohl ohne Authentifizierung ausnutzbar ist. So können sich AngreiferInnen selbst Konten mit Admin-Rechten erstellen und die betroffenen Websites damit vollständig kompromittieren. 4,6 Millionen Angriffsversuche dieser Art haben die Wordfence-ForscherInnen mittlerweile bereits dokumentiert.

Angriffsversuche erkennen

Ist eine Seite betroffen, so ist im WordPress-Dashboard ein Admin-Nutzer mit dem Namen „rangex“ aufgelistet. Ein weiteres eindeutiges Indiz findet sich in der Logdatei. Hier sollten Admins nach dieser verdächtigen Anfrage Ausschau halten:

//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1

Achtung: Ein Angriffsversuch muss noch nicht bedeuten, dass die jeweilige Website kompromittiert wurde. Es sollten jedoch dringend Maßnahmen ergriffen werden – beginnend mit der Deaktivierung des Plug-ins WPGateway.

Quelle: Wordfence