Und wieder wurde es offensichtlich: WordPress hat seine Tücken und Schwachstellen. Und die wurden jetzt von Kriminellen schamlos ausgenutzt. Angeblich wurden allein im September 2500 Webseiten blockiert, um weiteren Schaden zu vermeiden.
Die Initiatoren des Angriffs haben offenbar ein sehr professionelles Exploit-Framework namens BlackHole auf den Servern installiert, also eine Struktur zum Ausnutzen von Schwachstellen. Damit sollen offenbar Besucher eines Blogs Schadcode als „Mitbringsel“ übergeholfen bekommen. Die Angreifer suchen dabei gezielt nach bekannten Sicherheitsproblemen in Webbrowsern und Plugins von WordPress, um präzise Schaden anzurichten.
Wie Heise online und e-recht24 berichten, wurde der Angriff wohl vom Hersteller für Antivirensoftware, Avast, festgestellt. Der äußerte sich allerdings nicht dazu, um welche Schwachstellen es sich handelt. Allerdings schreiben die Experten in ihrem Blog von einem Schwarzen Loch. Das Problem ist wohl das WordPress Plugin TimThumb. Perun schreibt in seinem Blog, dass es sich bei der gefährlichen Version des Plugins um eine alte Version handelt.
Die Lösung laut Perun ist, TimThumb sofort auf Version 2.0 zu aktualisieren. Es klingt in seinem Beitrag fast so, als fände er es unglaublich, dass immernoch Blogs mit einer veralteten Version des Plugins unterwegs sind. Worauf geachtet werden sollte, ist in seinem Beitrag anschaulich beschrieben.
Ich nutze das Plugin nicht, da ich es nicht benötige. Trotzdem musste ich heute wieder einem unliebsamen Gast den Zutritt verwehren. Nur gut, dass ich es nicht zulasse, dass man sich recht oft mit falschen Benutzerdaten bei mir versucht anzumelden.
Jedenfalls scheint zurzeit wieder einmal WordPress ein Hauptziel für kriminelle Angriffe zu sein. Wir sollten dies beobachten, wissen wir doch, dass ein sehr signifikanter Anteil von derartigen Angriffen von Behörden / Regierungen stammt.
Also noch einmal zurück zu TimThumb. Es muss ja nicht einmal sein, dass man das Plugin wissentlich installiert und aktiviert hat. Es kann genauso gut mit einem Layout / einer Vorlage mitgekommen sein. Administratoren sollten daher überprüfen, ob das installierte Theme eine verwundbare TimThumb-Version nutzt. Welche „Themes“ genannten Vorlagen betroffen sind, ist bei securi.net nachzulesen. Was TimThumb so tut, hat der Entwickler in seinem Blog dargestellt.
Nun stehen Ihnen genügend Informationen zur Verfügung. Sie sollten, wenn Sie TimThumb nutzen, unbedingt das Plugin aktualisieren. Ich empfehle noch dazu, das Administrator-Passwort für WordPress zu ändern.