Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Free

Supply-Chain-Angriff kompromittiert WordPress-Plugin massiv : Manipuliertes Update installiert Backdoor über offiziellen Update-Kanal

Ein kompromittierter Update-Server reicht aus, um tausende Webseiten zu infizieren. Genau das ist beim Plugin Smart Slider 3 Pro passiert: Angreifer schleusten eine manipulierte Version über den offiziellen Update-Mechanismus ein. Selbst etablierte Software ist also nicht vor raffinierten Supply-Chain-Angriffen gefeit.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Die Kompromittierung des Plugins Smart Slider 3 Pro stellt ein Paradebeispiel für einen modernen Supply-Chain-Angriff dar. Dabei wurde nicht eine Schwachstelle im Code ausgenutzt, sondern die Vertrauenskette selbst: das Update-System.

Eine manipulierte Version des Plugins (3.5.1.35) wurde über den offiziellen Update-Kanal verteilt und blieb etwa sechs Stunden lang verfügbar. In diesem Zeitraum installierten zahlreiche Webseitenbetreiber unbewusst eine vollständig präparierte Schadsoftware.

Ein Sicherheitsforscher bringt die Tragweite auf den Punkt: „Eine nicht autorisierte Partei verschaffte sich Zugriff auf die Update-Infrastruktur und verteilte eine vollständig vom Angreifer entwickelte Version über den offiziellen Kanal.“

Angriff über die Vertrauenskette

Der Angriff zielte geradewegs auf die Update-Infrastruktur des Herstellers Nextend. Sobald Administratoren das Update installierten, wurde die Schadsoftware automatisch mit höchsten Rechten ausgeführt.

Besonders kritisch: Klassische Schutzmechanismen greifen in diesem Szenario nicht. Wie ein Experte treffend formuliert: „Das ist ein Lehrbuchbeispiel für einen Supply-Chain-Angriff – die Malware kommt über einen vertrauenswürdigen Kanal. Das Plugin selbst ist die Schadsoftware.“

Technische Funktionsweise der Backdoor

Die manipulierte Version enthält eine komplexe Backdoor, die weit über einfache Webshells hinausgeht. Sie erlaubt vollständige Kontrolle über das betroffene System und nutzt mehrere redundante Mechanismen zur Absicherung des Zugriffs.

Die Malware verfügt über folgende Fähigkeiten:

  • Vorab authentifizierte Remote-Code-Ausführung über spezielle HTTP-Header wie X-Cache-Status und X-Cache-Key
  • Backdoor mit dualem Ausführungsmodus für beliebigen PHP-Code und Betriebssystembefehle
  • Erstellung versteckter Administrator-Konten zur dauerhaften Kontrolle
  • Manipulation interner Filter zur Tarnung dieser Benutzerkonten
  • Verwendung versteckter Konfigurationsoptionen zur Speicherung sensibler Zugangsdaten
  • Mehrstufige Persistenzmechanismen an verschiedenen Stellen im System
  • Exfiltration umfangreicher System- und Zugangsdaten an einen Command-and-Control-Server

Die Angreifer nutzen dabei gezielt die Flexibilität von PHP und die Architektur von WordPress aus. Besonders auffällig ist die Nutzung von HTTP-Headern zur Codeübertragung, wodurch klassische Sicherheitsmechanismen umgangen werden.

Persistenz durch Redundanz

Ein zentrales Merkmal der Schadsoftware ist ihre Widerstandsfähigkeit. Die Malware installiert sich parallel an mehreren Stellen im System:

  • Als Must-Use-Plugin mit unauffälligem Namen zur dauerhaften Aktivierung
  • Durch Manipulation der Datei functions.php im aktiven Theme
  • Durch zusätzliche Dateien im WordPress-Kernverzeichnis

Diese Mehrfachverankerung stellt sicher, dass selbst bei teilweiser Bereinigung des Systems weiterhin Zugriff besteht.

Ein Analyst beschreibt die Architektur als „mehrschichtiges Persistenz-Toolkit mit redundanten Einstiegspunkten, robuster Befehlsausführung und automatischer Registrierung beim Kontrollserver“.

Datenabfluss und vollständige Kompromittierung

Neben der Kontrolle über das System zielt die Malware auf den Diebstahl sensibler Informationen ab. Dazu gehören unter anderem Zugangsdaten, Systeminformationen und Konfigurationsdetails.

Diese Daten ermöglichen es Angreifern, den Zugriff weiter auszubauen oder kompromittierte Systeme gezielt weiterzuverkaufen.

Reaktion und Gegenmaßnahmen

Nach der Entdeckung wurde die manipulierte Version umgehend entfernt und die Update-Infrastruktur abgeschaltet. Nutzer sind dringend aufgefordert, auf Version 3.5.1.36 zu aktualisieren und betroffene Systeme vollständig zu bereinigen.

Empfohlene Maßnahmen umfassen:

  • Überprüfung und Entfernung unbekannter Administrator-Konten
  • Deinstallation der kompromittierten Plugin-Version
  • Neuinstallation einer sauberen Version
  • Entfernung aller Persistenzmechanismen im System
  • Bereinigung manipulierter Konfigurationsdateien und Datenbankeinträge
  • Zurücksetzen aller Zugangsdaten inklusive Datenbank, Hosting und Fernzugriff
  • Analyse von Logs auf verdächtige Aktivitäten
  • Aktivierung von Zwei-Faktor-Authentifizierung und Einschränkung von PHP-Ausführung

Lehren aus dem Vorfall

Der Angriff zeigt deutlich, dass Sicherheitskonzepte, die ausschließlich auf Perimeterschutz setzen, nicht mehr ausreichen. Wenn der Angriffsvektor selbst als vertrauenswürdig gilt, greifen klassische Mechanismen ins Leere.

Für Betreiber bedeutet das: Integritätsprüfungen, signierte Updates und Zero-Trust-Ansätze werden zunehmend zur Pflicht, um solche Szenarien künftig besser abzusichern.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.