gebrochenen Kette

WordPress Supply Chain Attacken:

Supply Chain Attacken: In den letzten Monaten haben wir eine Reihe von Supply-Chain-Angriffen (wörtlich übersetzt Lieferkettenangriffen auf WordPress-Plugins) entdeckt. In diesem Beitrag erläutern wir, was ein Supply-Chain-Angriff ist, warum WordPress ein attraktives Ziel für sie ist und was Sie tun können, um Ihre Website zu schützen.

Was ist ein Supply Chain Attacke?

In der Softwareindustrie nutzt ein Supply-Chain-Angriff eine vertrauensvolle Beziehung zwischen Softwareherstellern oder -autoren und ihren Kunden. Für WordPress bedeutet das, herauszufinden, wie man Malware in Software-Updates einbetten kann. In einem Fall sahen wir, wie ein bestehender Plugin-Autor Malware auf Kundenseiten installierte, um ein bestehendes Plugin zu monetarisieren. In jedem anderen Fall, den wir aufgedeckt haben, wurde der Angriff von jemandem ausgeführt, der das Plugin mit der ausdrücklichen Absicht gekauft hat, seine Benutzer anzugreifen.

Hier sind die WordPress-Supply-Chain-Angriffe (Supply Chain Attacken), die wir kürzlich aufgedeckt haben:

Ende Dezember entdeckten wir Backdoors, die in drei Plugins installiert wurden, nachdem sie gekauft wurden: Duplicate Page and Post, No Follow All External Links und WP No External Links. 
Mitte Dezember entdeckten wir eine Hintertür in einem Captcha-Plugin nach dessen Kauf. Dieses Plugin war auf über 300.000 Webseiten aktiv.
Anfang November entdeckten wir ein Plugin, das unter Verwendung der CPU-Ressourcen der Website-Besucher nach Monero-Krypto-Währung suchte.
Im September entdeckten wir eine 4,5-jährige Spam-Kampagne mit neun Plugins, die wir in einer Reihe von Beiträgen beschrieben haben.
Diese Angriffe funktionieren, weil du als Website-Eigentümer bereits die Entscheidung getroffen hast, dem Softwarehersteller oder Autor zu vertrauen. In vielen Fällen bist du vielleicht sogar so weit gegangen, dass du automatische Updates für das Plugin aktiviert hast, so dass der Autor den Angreifer dazu gebracht hat, Malware jederzeit auf deine Website zu übertragen.

Warum ist WordPress ein Ziel?

WordPress ist aus verschiedenen Gründen ein attraktives Ziel für Supply-Chain-Angriffe.

Der erste Grund ist schlichtweg die Skalierung. Laut w3techs ist WordPress auf 29,2% aller Websites installiert – eine riesige Nutzerbasis, die man nutzen kann. Darüber hinaus standen zum Zeitpunkt dieses Schreibens 53.566 Plugins im offiziellen WordPress.org-Plugin-Repository zum Download bereit. Das ist eine Menge Arbeit, mit der man an beiden Fronten arbeiten kann.

Zweitens ist das WordPress.org-Plugin-Verzeichnis eine offene, gemeinschaftsgetriebene Ressource. Laut der Plugin-Richtlinien-Seite “Es liegt in der alleinigen Verantwortung der Plugin-Entwickler, sicherzustellen, dass alle Dateien in ihren Plugins den Richtlinien entsprechen”. Das bedeutet, dass es zwar ein kleines Team gibt, das mit der Verwaltung des Plugin-Repositorys betraut ist, und ein weiteres kleines Team, das sich auf die Sicherheit konzentriert, aber letztendlich verlassen sich die Benutzer auf Plugin-Entwickler, um sich sicher zu wähnen.

Drittens werden die meisten WordPress-Sites meist ziemlich unzureichend verwaltet. Eine Änderung an einer Website in einem größeren Unternehmen kann Code Review, Tests und einen formalen Änderungskontrollprozess beinhalten. Aber das passiert wahrscheinlich nicht konsequent, wenn überhaupt, auf den meisten kleineren Websites. Darüber hinaus überwachen viele Website-Besitzer ihre WordPress-Sites nicht genau, was bedeutet, dass Malware oft viele Monate lang an Ort und Stelle bleiben kann, ohne entdeckt zu werden.

Schließlich hat das WordPress-Plugin-Repository eine riesige Anzahl von aufgegebenen Plugins. Als wir uns das im Mai zückblickend anschauten, war fast die Hälfte der verfügbaren Plugins seit über zwei Jahren nicht mehr aktualisiert worden. Dies stellt eine großartige Gelegenheit für solche Menschen, die Böses im Schilde führen, dar und die auf diesem Wege versuchen, ahnungslose Plugin-Autoren dazu zu bringen, etwas zu verkaufen, das sie vor Jahren erschaffen haben und von dem sie sich nun verabschiedet haben.

Warum verkaufen WordPress Plugin-Autoren ihre Plugins?

Die überwiegende Mehrheit der Plugins im Repository ist völlig frei nutzbar, d.h. es gibt keine Premium-Features, die zum Kauf angeboten werden. Während das im Allgemeinen eine sehr positive Sache für die WordPress-Gemeinschaft ist, ist die Realität, dass alle Leute hinter diesen kostenlosen Plugins immer noch ihren Lebensunterhalt verdienen müssen. Wenn sie mit dem Plugin, das sie erstellt haben, kein Geld verdienen, verlieren sie oft das Interesse daran oder geben es ganz auf.
 
Wenn jemand sich ihnen nähert und ihnen Geld für ihr Plugin anbietet, kann es schwierig sein, sie zu übergehen. Und der Plugin-Autor mag denken, dass es sich um ein vollkommen unschuldiges Angebot handelt, denn es ist nicht so, dass der Supply-Chain-Angreifer seine bösen Absichten verkündet hat. Im Gegenteil: In den Kaufgesuchen, die wir gesehen haben, wirken sie oft wie jemand, der helfen will.
 
Dies ist ein Auszug aus einer Aufforderung zum Kauf eines Plugins, das wir bereits 2017 gesehen haben:
 

Ich überlege, ob ich und mein Team in der Lage wären, dieses Plugin von Ihnen zu kaufen und dann die komplette Entwicklung zu übernehmen und ein neues Update herauszubringen, damit es mit dem neuesten Wordpress besser funktioniert.

Wir werden auch unser Admin-Team in das Support-Forum stellen und sicherstellen, dass die Benutzer zufrieden sind und wenn es irgendwelche Funktionen gibt, nach denen sie speziell fragen, werden wir sie in das nächste Update aufnehmen.

Als Plugin-Autor, der etwas geschaffen hat, das Tausende von Leuten benutzen, was für eine wunderbare Gelegenheit! Diese nette Person bietet an, nicht nur dort weiterzumachen, wo Sie mit etwas aufgehört haben, das Sie sich genug um die Entwicklung gekümmert haben, sondern sie sind auch bereit, Ihnen Geld dafür zu geben.

So schützen Sie Ihre Webseiten

Glücklicherweise können Sie Ihre Website mit einer Reihe effektiver Taktiken gegen diese Angriffe schützen.

Prüfe Screen Plugins und Themes sehr sorgfältig. Jedes Mal, wenn Sie ein Plugin oder ein Thema installieren, lassen Sie den Code einer neuen Person auf Ihrer Website laufen. Generell gilt: Je etablierter und aktiver der Autor, desto besser.
Durchsuche deine Website regelmäßig nach Malware. Wir empfehlen, zeitgesteuerte Scans sowohl mit Wordfence als auch mit Gravityscan zu aktivieren. Beide enthalten eine kostenlose Option für zeitgesteuerte Scans.
Überprüfe deine Website und deine IP-Adresse regelmäßig anhand von Blacklists. Gravityscan überprüft über 20 davon kostenlos.
Sei sehr vorsichtig, wenn das WordPress.org-Repository eines Ihrer installierten Plugins entfernt oder “schließt” oder wenn es den Besitzer wechselt. Wordfence warnt Sie, wenn ein Plugin aus irgendeinem Grund aus dem Repo entfernt wurde.
Ziehe in Erwägung, abgebrochene Plugins zu entfernen oder zu ersetzen. Die Autoren dieser Plugins verkaufen sie am ehesten. Wordfence warnt Sie, wenn ein Plugin seit 2 Jahren nicht mehr aktualisiert wurde.
Behalte unseren Blog im Auge. Wir werden weiterhin Informationen über kompromittierte Plugins austauschen, sobald wir sie in unserer Forschung entdecken.

Das Wordfence-Plugin ist kostenlos und kann über deine WordPress Backend einfach installiert werden

Fazit:

Leider glauben wir, dass diese Art von Angriffen auf das WordPress Ökosystem an Popularität gewinnen wird. Angreifer werden auch sehr wahrscheinlich neue und noch kreativere Taktiken anwenden, die wir im neuen Jahr noch nicht vorhersehen können.

Als Website-Besitzer musst du jedes Plugin und jedes Thema, das du zu deiner Website hinzufügen willst, einer zusätzlichen Prüfung unterziehen, während du gleichzeitig deine Augen offen halten musst für alles Ungewöhnliche, das auftaucht, um in Zukunft wachsam gegen solche potenziellen Angriffe zu bleiben.