Sicherheitsforscher warnen, dass Angreifer seit April dieses Jahres eine „kritische“ Sicherheitslücke im WordPress-Plug-in Breeze Cache ausnutzen. Im Anschluss gelten Seiten als kompromittiert. Eine dagegen gerüstete Version des Plug-ins steht zum Download bereit. Attacken sind aber nicht ohne Weiteres möglich.
Hintergründe zur Schwachstelle
Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Der Plug-in-Website zufolge weist Breeze Cache derzeit mehr als 400.000 aktive Installationen auf. Diese Websites sind potenziell attackierbar. Angriffe sind aber nur möglich, wenn die Funktion „Host Files Locally – Gravatars“ aktiv ist, was standardmäßig nicht der Fall ist. Web-Admins sollten sicherstellen, dass die gegen die Attacken geschützte Version 2.4.5 installiert ist.
Die Sicherheitsforscher geben an, dass sie in der Spitze knapp 5000 Exploitversuche an einem Tag beobachtet haben. Insgesamt geben sie an, dass sie mittlerweile mehr als 30.000 Angriffsversuche dokumentiert haben. Aufgrund einer unzureichenden Validierung von Dateien können Angreifer ohne Authentifizierung an der Sicherheitslücke (CVE-2026-3844 „kritisch“) ansetzen und Schadcode hochladen. Darüber platzieren sie unter anderem Hintertüren auf Servern. Dem Entdecker der Schwachstelle hat Wordfence eigenen Angaben zufolge eine Bug-Bounty-Prämie von knapp 2700 US-Dollar gezahlt.
In ihrem Beitrag führen die Forscher aus, wo das Sicherheitsproblem konkret liegt. Außerdem zeigen sie, wie Angreifer vorgehen. Überdies geben sie unter anderem Hinweise auf IP-Adressen der Angreifer. Daraus können Admins Indicators of Compromise (IoC) ableiten, um bereits attackierte Instanzen einzugrenzen.
(des)
English (US) ·