Ein beliebtes Theme für die Blog-Software WordPress enthält eine Cross-Site-Scripting-Lücke, über die Angreifer gerade massenweise Schadcode in die Webseiten ahnungsloser Web-Admins einschleusen. Bei Cross-Site Scripting (XSS) kann ein Angreifer Code in eine Webseite einschleusen, der auf dem Rechner des Opfers schädliche Wirkung entfaltet, wenn dieses die entsprechende Webseite aufruft. Themes sind hier besonders beliebt, weil es dann egal ist, welche spezifische Webseite das Opfer aufruft, da der Schadcode meist in Elemente eingebettet wird, die bei jeder beliebigen Seite unter der ganzen Domain mit angezeigt werden.
Altes Theme, alte Lücke
Beim aktuellen Fall handelt es sich um das Theme OneTone, das laut dem Entdecker der Sicherheitslücke Anfang dieses Monats auf mehr als 20.000 Webseiten installiert war. Mehrere Sicherheitsfirmen beobachten seit ungefähr einer Woche, dass sich nun die Angriffe auf diese Webseiten stark häufen. Seitdem fällt die Installationszahl des Themes rapide, da der Entwickler schon seit Jahren keine Updates mehr für seine Software bereitstellt und OneTone deswegen auch nicht gepatcht hat. Admins, die Angriffe entdeckt haben, scheinen deswegen massenweise auf andere Themes umzusteigen.
Entdeckt worden waren die Sicherheitslücken in dem Theme bereits im September 2019. Ihnen wurden die Schwachstellen-IDs CVE-2019-17230 und CVE-2019-17231 zugeteilt und WordPress entfernte das Theme im Oktober aus dem offiziellen Theme-Katalog seiner Webseite. Da der Entwickler nicht auf Kontaktversuche verschiedener Sicherheitsfirmen reagiert hat, wurden die Details des Angriffs nun öffentlich gemacht. Alle WordPress-Nutzer, die dieses Theme im Einsatz haben, sollten schnellstmöglich auf ein anderes Layout umsteigen, um ihre Besucher zu schützen.
Sonderbehandlung für Site-Admins
Über die XSS-Lücke lässt sich Schadcode in die Einstellungen des Themes einbetten. Da die jedes Mal geladen werden, wenn ein Besucher eine Seite aufruft, kommt der Schadcode so gut wie immer zur Ausführung. Bei der aktuellen Angriffskampagne bauen die Angreifer Code ein, der Anfragen zu ihren Servern umleitet. Das nutzen sie dann vermutlich, um Daten von den Besuchern abzuphishen oder sie dazu zu bewegen, weiteren Schadcode herunterzuladen und auszuführen. Allerdings kann der durch die XSS-Lücke eingeschleuste Code eingeloggte Admins auf der WordPress-Seite von anderen Besuchern unterscheiden. Besucht ein Admin seine verwanzte Seite, bekommt er alles normal angezeigt und wird nicht umgeleitet. Im Hintergrund klaut ein Skript allerdings seine WordPress-Login-Daten, was den Hackern ermöglicht, eine Backdoor zu installieren und die komplette WordPress-Installation zu übernehmen.
Da es vom Entwickler wohl keinen Fix für die Lücken geben wird, bleibt betroffenen Admins nichts anderes übrig, als das Theme zu wechseln. Am besten untersucht man seine WordPress-Benutzer außerdem auf Backdoor-Konten.
Quelle: OneTone: Ungepatchtes WordPress-Theme gefährdet zehntausende Webseiten | heise online